Online-Diskussionen drehen sich weiterhin um Ledgers neues Firmware-Update für seine Krypto-Hardware-Wallet, das laut Experten die privaten Schlüssel der Benutzer gefährden könnte.
Ledger veröffentlichte am Mittwoch einen Twitter-Thread, in dem er versuchte, Bedenken hinsichtlich der Sicherheit der Vermögenswerte der Benutzer auszuräumen, veröffentlichte jedoch einen widersprüchlichen und verwirrenden Tweet, der die Kontroversen noch weiter anheizte.
Inhaltsverzeichnis
Ledgers besorgniserregender Tweet
In einem inzwischen gelöschten Tweet bestätigte der Ledger-Support die Kritik vom Mittwoch und enthüllte eine problematische Realität bei der Verwendung seines Produkts: Der Hersteller könnte technisch gesehen Firmware veröffentlichen, die die privaten Schlüssel der Benutzer aus ihren Wallets extrahiert.
„Ob Sie es wussten oder nicht, Sie haben Ledger immer darauf vertraut, dass es keine solche Firmware bereitstellt“, schrieb das Unternehmen.
Ledgers gelöschter Tweet. 17.05.23
Dies widerspricht einer Behauptung des Unternehmens Hauptaccount letzten November, in dem Ledger behauptete, dass private Benutzerschlüssel nicht durch ein Firmware-Update aus dem Secure-Element-Chip einer Wallet extrahiert werden können.
Damals verzeichneten Ledger und andere Wallet-Hersteller nach dem Zusammenbruch von FTX Rekordumsätze, da Krypto-Investoren die Sicherheit der Selbstverwahrung und Kühllagerung ihrer Krypto-Assets suchten.
Am Donnerstag, Ledger genannt dass es beschlossen habe, seinen Mittwochs-Tweet aufgrund seiner „verwirrenden Formulierung“ zu löschen. Charles Guillemet, CTO von Ledger, veröffentlichte jedoch einen Folgethread, in dem er erklärte, dass Wallets im Allgemeinen „viele Möglichkeiten“ haben, eine Hintertür zu implementieren, und dass bei jedem Wallet-Kauf von Drittanbietern ein gewisses Maß an Vertrauen erforderlich ist.
22/
Wenn Sie völlig vertrauenswürdig sein wollen, müssen Sie Elektronik lernen, um Ihren Computer zu bauen, ASM lernen, um Ihren Compiler zu bauen, dann einen Wallet-Stack, Ihren eigenen Knoten und Synchronisierer bauen, Sie müssen Kryptographie lernen, um Ihren eigenen zu bauen Signaturstapel.
— Charles Guillemet (@P3b7_) 18. Mai 2023
„Open Source löst dieses Problem nicht wirklich“, fügte er hinzu. „Es gibt keine Garantie dafür, dass die Elektronik selbst nicht hintertürig ist oder dass die Firmware, die in der Brieftasche läuft, die ist, die Sie geprüft haben.“
Ledger-Wiederherstellung
Die Kritik an Ledger nahm am Mittwoch zu, nachdem das Unternehmen seinen neuen Hardware-Wallet-Dienst „Ledger Recover“ angekündigt hatte. Mit Benutzererlaubnis teilt der Dienst die privaten Schlüssel einer Wallet in drei Shards auf, verschlüsselt sie und speichert sie bei drei separaten zentralen Anbietern – einer davon ist Ledger.
Für den Abonnementdienst müssen Benutzer vor der Nutzung persönliche Identifikationsdaten angeben. Im Gegenzug erhalten Benutzer die Möglichkeit, ihre privaten Schlüssel wiederherzustellen, falls sie sowohl ihr Hardwaregerät als auch ihr Seed-Phrase-Paper-Backup verlieren.
Die Krypto-Community kritisierte den Dienst und das damit verbundene Firmware-Update, weil es einen Codepfad hinzufügte, der private Schlüssel an Dritte senden kann. Viele Experten, darunter Entwickler und Prüfer „foobar“, empfahlen den Followern, die Geräte des Unternehmens nicht mehr zu verwenden.
Wenn Sie über ein Hauptbuch verfügen, sind Ihre Schlüssel (noch) nicht gefährdet. Wenn Sie jedoch auf die neueste Firmware aktualisieren, bleibt diese in einem Codepfad hängen, der Ihren privaten Schlüssel an Dritte senden kann. Angesichts der Tatsache, dass Ledger in der Vergangenheit seine eigenen Kunden gefoltert hat, ist es unwahrscheinlich, dass sie diese Informationen sicher aufbewahren
— foobar (@0xfoobar) 16. Mai 2023
.