Ledger svarar på kundernas rädslor om plånbokssäkerhet men tar bort förvirrande tweets

Ledger svarar på kundernas rädslor om plånbokssäkerhet men tar bort förvirrande tweets

Onlinediskussioner fortsätter att kretsa kring Ledgers nya firmwareuppdatering för dess kryptohårdvaruplånbok, som experter säger kan utsätta användarnas privata nycklar på spel.

Ledger postade en Twitter-tråd på onsdagen i ett försök att ta itu med farhågor om säkerheten för användarnas tillgångar, men postade en motsägelsefull och förvirrande tweet som ytterligare underblåste kontroversen.

Ledgers oroande tweet

I en nu raderad tweet erkände Ledger Support onsdagens kritik och avslöjade en problematisk verklighet om att använda sin produkt: Tillverkaren kunde tekniskt släppa firmware som extraherar användarnas privata nycklar från deras plånböcker.

"Oavsett om du visste det eller inte, har du alltid litat på att Ledger inte tillhandahåller sådan firmware", skrev företaget.

Ledgers raderade tweet. 17/05/23

Detta motsäger ett påstående från företaget Huvudkontoi november förra året, där Ledger hävdade att användarnas privata nycklar inte kan extraheras från en plånboks Secure Element-chip genom en firmwareuppdatering.

Vid den tiden såg Ledger och andra plånbokstillverkare rekordförsäljning efter kollapsen av FTX när kryptoinvesterare sökte säkerheten för självvård och kylförvaring av sina kryptotillgångar.

På torsdag, Ledger kalladatt det hade beslutat att radera hans onsdags tweet på grund av dess "förvirrande formulering." Ledger CTO Charles Guillemet postade dock en uppföljningstråd som förklarade att plånböcker i allmänhet har "många sätt" att implementera en bakdörr och att en viss nivå av förtroende krävs med alla köp av plånbok från tredje part.

22/
Om du vill vara helt pålitlig behöver du lära dig elektronik för att bygga din dator, lära dig ASM för att bygga din kompilator, sedan bygga en plånboksstack, din egen nod och synkroniserare, du behöver lära dig kryptografi för att bygga din egen signaturstack.

— Charles Guillemet (@P3b7_) 18 maj 2023

"Öppen källkod löser inte riktigt det här problemet," tillade han. "Det finns ingen garanti för att själva elektroniken inte är bakdörr eller att firmware som körs i plånboken är den du har testat."

Återställning av reskontra

Kritiken mot Ledger ökade på onsdagen efter att företaget tillkännagav sin nya hårdvaruplånbokstjänst, "Ledger Recover." Med användartillstånd delar tjänsten upp en plånboks privata nycklar i tre skärvor, krypterar dem och lagrar dem hos tre separata centrala leverantörer – varav en är Ledger.

Prenumerationstjänsten kräver att användare tillhandahåller personlig identifieringsinformation före användning. I gengäld ges användare möjligheten att återställa sina privata nycklar i händelse av att de förlorar både sin hårdvaruenhet och sin säkerhetskopia av fröfraspapper.

Kryptogemenskapen kritiserade tjänsten och dess tillhörande firmwareuppdatering eftersom den lade till en kodsökväg som kan skicka privata nycklar till tredje part. Många experter, inklusive utvecklare och granskare "foobar", rekommenderade att följare slutar använda företagets enheter.

Om du har en reskontra är dina nycklar inte i riskzonen (ännu). Men när du uppdaterar till den senaste firmwaren fastnar den i en kodsökväg som kan skicka din privata nyckel till tredje part. Med tanke på att Ledger har en historia av att tortera sina egna kunder, är det osannolikt att de kommer att hålla denna information säker

— foobar (@0xfoobar) 16 maj 2023

.