Ledger risponde ai timori dei clienti sulla sicurezza del portafoglio ma elimina i tweet confusi”.

Ledger risponde ai timori dei clienti sulla sicurezza del portafoglio ma elimina i tweet confusi”.

Le discussioni online continuano a ruotare attorno al nuovo aggiornamento firmware di Ledger per il suo portafoglio hardware crittografico, che secondo gli esperti potrebbe mettere a rischio le chiavi private degli utenti.

Mercoledì Ledger ha pubblicato un thread su Twitter nel tentativo di affrontare le preoccupazioni sulla sicurezza delle risorse degli utenti, ma ha pubblicato un tweet contraddittorio e confuso che ha ulteriormente alimentato la controversia.

Il preoccupante tweet di Ledger

In un tweet ora cancellato, Ledger Support ha riconosciuto le critiche di mercoledì e ha rivelato una realtà problematica sull'utilizzo del suo prodotto: il produttore potrebbe tecnicamente rilasciare firmware che estrae le chiavi private degli utenti dai loro portafogli.

"Che tu lo sapessi o no, hai sempre avuto fiducia che Ledger non fornisse tale firmware", ha scritto la società.

Il tweet cancellato di Ledger. 17/05/23

Ciò contraddice quanto affermato dalla società Conto principalelo scorso novembre, in cui Ledger affermava che le chiavi private dell'utente non possono essere estratte dal chip Secure Element di un portafoglio tramite un aggiornamento del firmware.

All'epoca, Ledger e altri produttori di portafogli videro vendite record in seguito al crollo di FTX mentre gli investitori in criptovalute cercavano la sicurezza dell'autocustodia e della conservazione a freddo delle loro risorse crittografiche.

Giovedì, Ledger chiamatoche aveva deciso di cancellare il suo tweet di mercoledì a causa della sua "formulazione confusa". Tuttavia, Charles Guillemet, CTO di Ledger, ha pubblicato un thread di follow-up in cui spiega che i portafogli in generale hanno "molti modi" per implementare una backdoor e che è richiesto un certo livello di fiducia con qualsiasi acquisto di portafogli di terze parti.

22/
Se vuoi essere completamente affidabile, devi imparare l'elettronica per costruire il tuo computer, imparare l'ASM per costruire il tuo compilatore, quindi costruire uno stack di portafogli, il tuo nodo e sincronizzatore, devi imparare la crittografia per costruire il tuo stack di firme.

— Charles Guillemet (@P3b7_) 18 maggio 2023

“L’open source non risolve veramente questo problema”, ha aggiunto. "Non vi è alcuna garanzia che i componenti elettronici stessi non siano dotati di backdoor o che il firmware in esecuzione nel portafoglio sia quello che hai testato."

Recupero del registro

Mercoledì le critiche nei confronti di Ledger sono aumentate dopo che la società ha annunciato il suo nuovo servizio di portafoglio hardware, "Ledger Recover". Con il permesso dell'utente, il servizio divide le chiavi private di un portafoglio in tre frammenti, le crittografa e le archivia presso tre fornitori centrali separati, uno dei quali è Ledger.

Il servizio in abbonamento richiede agli utenti di fornire informazioni di identificazione personale prima dell'utilizzo. In cambio, agli utenti viene data la possibilità di recuperare le proprie chiavi private nel caso in cui perdano sia il dispositivo hardware che il backup della frase iniziale.

La comunità crittografica ha criticato il servizio e l'aggiornamento del firmware associato perché ha aggiunto un percorso di codice in grado di inviare chiavi private a terzi. Molti esperti, inclusi gli sviluppatori e i revisori di “foobar”, hanno raccomandato ai follower di smettere di utilizzare i dispositivi dell’azienda.

Se hai un registro, le tue chiavi non sono (ancora) a rischio. Tuttavia, quando esegui l'aggiornamento al firmware più recente, rimane bloccato in un percorso di codice che può inviare la tua chiave privata a terze parti. Dato che Ledger ha una storia di torture nei confronti dei propri clienti, è improbabile che manterrà queste informazioni al sicuro

— foobar (@0xfoobar) 16 maggio 2023

.