Por que a nova função de recuperação do Ledger causou controvérsia?
Pontos chave:
- Com a nova atualização do Ledger Recover, a carteira criptográfica de hardware agora oferece um serviço de assinatura que permite armazenar com segurança sua frase inicial de recuperação.
- No entanto, a notícia foi fortemente atacada por um segmento da comunidade Web3.
- O Ledger Recover essencialmente criptografa a frase inicial de um usuário e a fragmenta em três partes, cada uma das quais é compartilhada com um custodiante separado.
A Ledger estava em apuros esta semana depois de anunciar as intenções de lançar o Ledger Recover, um serviço opcional de associação paga para usuários da carteira Ledger Nano X que oferece um método de recuperação de frase inicial envolvendo custodiantes terceirizados. A nova funcionalidade, de acordo com a empresa, é um avanço que permitirá que os detentores de criptomoedas e NFT recuperem seus fundos no caso de uma frase de semente perdida ou esquecida.
No entanto, a notícia foi fortemente condenada por um segmento da comunidade Web3, que alega que a atualização do firmware que permite que o serviço exista viola a política de longa data da Ledger de garantir que a chave privada de um usuário nunca saia do dispositivo. Essas questões lançaram dúvidas sobre a suposta dedicação da carteira à privacidade e segurança, que a empresa rejeita.
A Ledger lançou a atualização de firmware Nano X cold wallet 2.2.1 em 16 de maio, que inclui uma ferramenta de recuperação mnemônica chave chamada “Ledger Recover” como um serviço de recuperação de chave baseado em ID.
Faz backup da chave privada do usuário para recuperar a frase inicial e precisa de uma associação (US$ 9.99 por mês) para utilizar. Atualmente, um passaporte/documento de identidade da UE, Reino Unido, Canadá ou EUA é necessário para assinar o serviço, mas outros países e documentos serão suportados nos próximos meses.
No entanto, a publicação desse recurso levou muitos usuários do Web3 a se preocuparem com privacidade e segurança, principalmente porque envolve o armazenamento de frases mnemônicas de chave privada e sua correlação com passaportes ou documentos de identificação, o que claramente contradiz os ideais de privacidade da comunidade de criptografia.
Novo recurso polêmico
A Ledger é uma das produtoras de carteiras de hardware mais conhecidas e populares do mundo, avaliada em mais de US$ 1 bilhão e com vendas anuais estimadas em mais de US$ 53 milhões. As carteiras de hardware, geralmente conhecidas como dispositivos de “armazenamento a frio”, são equipamentos semelhantes a pendrives USB que fornecem um método altamente seguro para armazenar criptomoedas. Eles são vistos como preferíveis aos concorrentes de “carteira quente”, como MetaMask e WalletConnect, que são mais simples de usar, mas têm a desvantagem de manter as chaves privadas online, expondo-as a um perigo significativamente maior.
A configuração de uma carteira Ledger envolve a produção de uma frase inicial exclusiva, que é um conjunto de palavras geradas aleatoriamente que servem como chaves privadas para carteiras criptográficas. Apesar de seguro, esse sistema apresenta problemas de usabilidade. Perder a frase-semente implica perder o acesso ao dinheiro, o que pode levar a uma violação da carteira se cair em mãos erradas.
Segundo relatos, a base dessa nova função é fragmentar a frase mnemônica do usuário e dividi-la em três partes antes de criptografá-la. Ao mesmo tempo, os consumidores devem oferecer sua própria identidade e registro de selfie, além de confiar em três guardiões. Humanos protegem essas informações para você.
Há, no entanto, um problema com Ledger fazendo isso.
Para começar, a fim de utilizar este método de “recuperação mnemônica”, você deve correlacionar suas informações de identificação de ID com sua conta, resultando em um ponto problemático KYC, vazamento de dados, hacking, censura e vigilância.
Em segundo lugar, você deve confiar em terceiros e fornecer a eles suas informações de identificação, bem como conhecimento sobre dinheiro criptografado. Violações de dados ou hacks são bem possíveis nesta circunstância; afinal, os dados do usuário são extremamente valiosos (agora e no futuro) e qualquer “terceiro aprovado” pode decidir utilizar seus dados como fonte de dinheiro a qualquer momento.
Além disso, a função Recover põe em risco a privacidade do usuário. No momento, a maioria dos usuários opta por usar o serviço de software Ledger Live, que usará o nó Ledger para sincronizar todas as carteiras, que contêm todos os detalhes das atividades de criptomoeda na carteira, os usuários que usam o Ledger Live correm um risco maior do que os usuários vinculados seu próprio ID para a conta Leger.
Um analista de segurança divulgando um gadget que armazena uma chave privada totalmente intocável e imóvel e, em seguida, revelando abruptamente que a chave pode ser acessada e compartilhada com outras partes, não agradou a maioria da comunidade Web3.
Particularmente angustiante era a noção de que os usuários seriam obrigados a apresentar uma identidade emitida pelo governo para participar do Recover.
A divulgação da atualização gerou indignação no mundo criptográfico, com acusações de que a nova função do Ledger contradiz garantias anteriores sobre manter as chaves privadas fora da Internet.
Outros que acham que os céticos estão exagerando se referiram ao fato de que as carteiras são intrinsecamente atualizáveis para aliviar as preocupações sobre sua acessibilidade e segurança, bem como para oferecer clareza sobre os fundamentos de como as carteiras funcionam em primeiro lugar. As carteiras de hardware perderiam a utilidade se não pudessem ser atualizadas, pois os próprios blockchains melhoram com o tempo e qualquer dispositivo que interaja com o blockchain deve ser capaz de se adaptar adequadamente.
Seja qual for o serviço de assinatura ou não, ele demonstra as dificuldades de explicar novos recursos no ambiente de resposta rápida do Web3. O debate Recover, como muitos outros antes dele, destaca a batalha constante enfrentada pelos negócios centrados em blockchain; alcançar um equilíbrio entre a experiência do usuário e respeitar as crenças básicas da comunidade criptográfica é uma tarefa difícil.
O Ledger acompanha sua frase inicial?
A atualização para o Ledger Recover alega criptografar e dividir sua frase inicial em três partes. Depois disso, você fornecerá evidências de identificação e um vídeo de selfie, e três guardiões separados protegerão os fragmentos para você. Ledger, Coincover e uma terceira empresa atuarão como custodiantes. Ele destacou que este é um serviço suplementar e os clientes podem continuar a carregar suas frases-semente de recuperação como anteriormente. Essa mudança gerou indignação no Twitter de vários ativistas de privacidade na Internet.
Por que é perigoso?
De acordo com as informações fornecidas, todos os dados KYC são coletados por uma empresa chamada “Onfido”, que cuidará de coisas como a verificação de informações KYC. Quando os usuários do Ledger carregam/verificam suas identidades, IDs de usuário, vídeos selfie, foto/vídeo/som e uma imagem geral do dispositivo do usuário e atividades atuais são retidos.
Isso implica que o Onfido terá acesso completo ao seu ID e às informações de que você é um usuário do Ledger. Claro, eles estão cientes de que você tem criptomoeda. O Onfido também terá conhecimento completo dos dispositivos de autenticação que você usa, então agora você não apenas confia na Ledger e em “terceiros aprovados” com seus dados de identidade, mas também confia no Onfido com seus dispositivos e muito mais.
Todas essas ações têm o potencial de criar novos riscos. Vejamos agora do ponto de vista técnico.
Os usuários devem confiar no Ledger “100%” do ponto de vista tecnológico, pois o código para todo o processo é fechado e não verificável. Embora o cofundador da Ledger, Nicolas Bacca, tenha dito que sua equipe pretende abrir seu código no futuro para permitir que os clientes vejam como o serviço de recuperação da carteira criptografa com segurança os dados do usuário e funciona com segurança nos bastidores, a empresa também está tornando seu serviço de recuperação público. disponível. Selecione e seja franco sobre acordos com custodiantes terceirizados, no entanto, até o momento em que este livro foi escrito, o Ledger não abriu o código necessário para o código, o que significa que ninguém, exceto o Ledger, pode verificar o que está acontecendo/segurança.
Se tudo correr como planejado, a frase inicial do usuário nunca deve deixar o dispositivo sem criptografia. No entanto, não temos nenhum método para confirmar isso ou garantir que as frases iniciais estejam corretamente preenchidas ou criptografadas.
Mas uma coisa é certa: o código agora está rodando em seu Ledger, e você pode transmitir seu mnemônico via USB/BT. De outro ângulo, sua carteira não será mais uma “carteira fria” neste ponto, mas sim uma “transição de fria para quente”. Não apenas isso, mas ser capaz de “aquecer” sua carteira com alguns toques de tecla abre uma série de novas rotas de ataque de phishing e malware, onde os hackers podem acidentalmente obter sua frase inicial.
Não podemos estabelecer se o Ledger possui proteções de segurança integradas para impedir que alguém transmita o mnemônico de fragmento criptografado para uma pessoa, três guardiões distintos, ou se o mnemônico de fragmento só pode ser entregue pelo próprio usuário.
Outro problema é que você não tem certeza de como funcionam os processos de recuperação ou descriptografia mnemônica. Os usuários devem fazer check-in no Ledger e confirmar sua identidade, mas como a descriptografia só pode ser realizada em seu próprio dispositivo, como o novo dispositivo obtém a chave de descriptografia?
Normalmente, existe um mecanismo para autorizar um novo dispositivo e enviar a chave de descriptografia em uma situação de criptografia de ponta a ponta (E2EE), no entanto, no caso de um Ledger perdido, o usuário não pode realmente fazer isso, portanto, outra pessoa devem ter o dispositivo para o qual enviaram. A recuperação mnemônica requer uma cópia de sua chave de descriptografia do Ledger.
Quem detém as chaves de descriptografia neste caso? Este é o livro-caixa? Ou é criptografado e armazenado em outro lugar após a recuperação do Ledger e a verificação do ID? Se for esse o caso, como a chave de descriptografia é mantida, criptografada e autenticada?
Além disso, se alguém descobrir que você usou o Ledger Recover e obteve seu ID, é possível que eles levem todas as suas criptomoedas, mesmo que seu Ledger esteja seguro e guardado em uma gaveta em algum lugar.
Vale a pena notar que CoinCover, o custodiante do Ledger Recover, e Onfido, ambos mencionados acima, estão sediados no Reino Unido. Outro custodiante não é nomeado no documento original, no entanto, EscrowTech nos Estados Unidos é relatado como sendo um. Se a história for precisa, isso implica que você estará sujeito à autoridade da “Inteligência dos Cinco Olhos”.
Conclusão
O aspecto mais preocupante do problema é uma aparente perda de confiança entre a Ledger e seus usuários, provocada por discrepâncias nas afirmações da empresa.
Os usuários que optarem pela atualização do Recover, por outro lado, terão suas identidades conectadas às suas carteiras de criptomoedas, aproximando a experiência de uma troca centralizada com verificações de conhecimento do cliente (KYC).
Onfido coleta todas as informações KYC. Quando você carrega/verifica sua identificação, a empresa também realiza a integração KYC e mantém o controle de seu dispositivo e comportamento atual. Você não apenas confia na Ledger e em outras partes autorizadas, mas também confia na Onfido com suas informações confidenciais. É uma calamidade em formação?
A estreia do serviço Recover da Ledger pode não ser uma boa ideia, pois viola todos os conceitos de utilização de carteiras de hardware (armazenamento frio) e envolve KYC. Ao mesmo tempo, o método de “código não aberto” torna muitos usuários do Web3 céticos em relação a suas reivindicações.
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem aconselhamento de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se a nós para acompanhar as novidades: https://linktr.ee/coincu
Harold
coincu Novidades
Autor
Recursos Educacionais
Por que a nova função de recuperação do Ledger causou controvérsia?
Pontos chave:
- Com a nova atualização do Ledger Recover, a carteira criptográfica de hardware agora oferece um serviço de assinatura que permite armazenar com segurança sua frase inicial de recuperação.
- No entanto, a notícia foi fortemente atacada por um segmento da comunidade Web3.
- O Ledger Recover essencialmente criptografa a frase inicial de um usuário e a fragmenta em três partes, cada uma das quais é compartilhada com um custodiante separado.
A Ledger estava em apuros esta semana depois de anunciar as intenções de lançar o Ledger Recover, um serviço opcional de associação paga para usuários da carteira Ledger Nano X que oferece um método de recuperação de frase inicial envolvendo custodiantes terceirizados. A nova funcionalidade, de acordo com a empresa, é um avanço que permitirá que os detentores de criptomoedas e NFT recuperem seus fundos no caso de uma frase de semente perdida ou esquecida.
No entanto, a notícia foi fortemente condenada por um segmento da comunidade Web3, que alega que a atualização do firmware que permite que o serviço exista viola a política de longa data da Ledger de garantir que a chave privada de um usuário nunca saia do dispositivo. Essas questões lançaram dúvidas sobre a suposta dedicação da carteira à privacidade e segurança, que a empresa rejeita.
A Ledger lançou a atualização de firmware Nano X cold wallet 2.2.1 em 16 de maio, que inclui uma ferramenta de recuperação mnemônica chave chamada “Ledger Recover” como um serviço de recuperação de chave baseado em ID.
Faz backup da chave privada do usuário para recuperar a frase inicial e precisa de uma associação (US$ 9.99 por mês) para utilizar. Atualmente, um passaporte/documento de identidade da UE, Reino Unido, Canadá ou EUA é necessário para assinar o serviço, mas outros países e documentos serão suportados nos próximos meses.
No entanto, a publicação desse recurso levou muitos usuários do Web3 a se preocuparem com privacidade e segurança, principalmente porque envolve o armazenamento de frases mnemônicas de chave privada e sua correlação com passaportes ou documentos de identificação, o que claramente contradiz os ideais de privacidade da comunidade de criptografia.
Novo recurso polêmico
A Ledger é uma das produtoras de carteiras de hardware mais conhecidas e populares do mundo, avaliada em mais de US$ 1 bilhão e com vendas anuais estimadas em mais de US$ 53 milhões. As carteiras de hardware, geralmente conhecidas como dispositivos de “armazenamento a frio”, são equipamentos semelhantes a pendrives USB que fornecem um método altamente seguro para armazenar criptomoedas. Eles são vistos como preferíveis aos concorrentes de “carteira quente”, como MetaMask e WalletConnect, que são mais simples de usar, mas têm a desvantagem de manter as chaves privadas online, expondo-as a um perigo significativamente maior.
A configuração de uma carteira Ledger envolve a produção de uma frase inicial exclusiva, que é um conjunto de palavras geradas aleatoriamente que servem como chaves privadas para carteiras criptográficas. Apesar de seguro, esse sistema apresenta problemas de usabilidade. Perder a frase-semente implica perder o acesso ao dinheiro, o que pode levar a uma violação da carteira se cair em mãos erradas.
Segundo relatos, a base dessa nova função é fragmentar a frase mnemônica do usuário e dividi-la em três partes antes de criptografá-la. Ao mesmo tempo, os consumidores devem oferecer sua própria identidade e registro de selfie, além de confiar em três guardiões. Humanos protegem essas informações para você.
Há, no entanto, um problema com Ledger fazendo isso.
Para começar, a fim de utilizar este método de “recuperação mnemônica”, você deve correlacionar suas informações de identificação de ID com sua conta, resultando em um ponto problemático KYC, vazamento de dados, hacking, censura e vigilância.
Em segundo lugar, você deve confiar em terceiros e fornecer a eles suas informações de identificação, bem como conhecimento sobre dinheiro criptografado. Violações de dados ou hacks são bem possíveis nesta circunstância; afinal, os dados do usuário são extremamente valiosos (agora e no futuro) e qualquer “terceiro aprovado” pode decidir utilizar seus dados como fonte de dinheiro a qualquer momento.
Além disso, a função Recover põe em risco a privacidade do usuário. No momento, a maioria dos usuários opta por usar o serviço de software Ledger Live, que usará o nó Ledger para sincronizar todas as carteiras, que contêm todos os detalhes das atividades de criptomoeda na carteira, os usuários que usam o Ledger Live correm um risco maior do que os usuários vinculados seu próprio ID para a conta Leger.
Um analista de segurança divulgando um gadget que armazena uma chave privada totalmente intocável e imóvel e, em seguida, revelando abruptamente que a chave pode ser acessada e compartilhada com outras partes, não agradou a maioria da comunidade Web3.
Particularmente angustiante era a noção de que os usuários seriam obrigados a apresentar uma identidade emitida pelo governo para participar do Recover.
A divulgação da atualização gerou indignação no mundo criptográfico, com acusações de que a nova função do Ledger contradiz garantias anteriores sobre manter as chaves privadas fora da Internet.
Outros que acham que os céticos estão exagerando se referiram ao fato de que as carteiras são intrinsecamente atualizáveis para aliviar as preocupações sobre sua acessibilidade e segurança, bem como para oferecer clareza sobre os fundamentos de como as carteiras funcionam em primeiro lugar. As carteiras de hardware perderiam a utilidade se não pudessem ser atualizadas, pois os próprios blockchains melhoram com o tempo e qualquer dispositivo que interaja com o blockchain deve ser capaz de se adaptar adequadamente.
Seja qual for o serviço de assinatura ou não, ele demonstra as dificuldades de explicar novos recursos no ambiente de resposta rápida do Web3. O debate Recover, como muitos outros antes dele, destaca a batalha constante enfrentada pelos negócios centrados em blockchain; alcançar um equilíbrio entre a experiência do usuário e respeitar as crenças básicas da comunidade criptográfica é uma tarefa difícil.
O Ledger acompanha sua frase inicial?
A atualização para o Ledger Recover alega criptografar e dividir sua frase inicial em três partes. Depois disso, você fornecerá evidências de identificação e um vídeo de selfie, e três guardiões separados protegerão os fragmentos para você. Ledger, Coincover e uma terceira empresa atuarão como custodiantes. Ele destacou que este é um serviço suplementar e os clientes podem continuar a carregar suas frases-semente de recuperação como anteriormente. Essa mudança gerou indignação no Twitter de vários ativistas de privacidade na Internet.
Por que é perigoso?
De acordo com as informações fornecidas, todos os dados KYC são coletados por uma empresa chamada “Onfido”, que cuidará de coisas como a verificação de informações KYC. Quando os usuários do Ledger carregam/verificam suas identidades, IDs de usuário, vídeos selfie, foto/vídeo/som e uma imagem geral do dispositivo do usuário e atividades atuais são retidos.
Isso implica que o Onfido terá acesso completo ao seu ID e às informações de que você é um usuário do Ledger. Claro, eles estão cientes de que você tem criptomoeda. O Onfido também terá conhecimento completo dos dispositivos de autenticação que você usa, então agora você não apenas confia na Ledger e em “terceiros aprovados” com seus dados de identidade, mas também confia no Onfido com seus dispositivos e muito mais.
Todas essas ações têm o potencial de criar novos riscos. Vejamos agora do ponto de vista técnico.
Os usuários devem confiar no Ledger “100%” do ponto de vista tecnológico, pois o código para todo o processo é fechado e não verificável. Embora o cofundador da Ledger, Nicolas Bacca, tenha dito que sua equipe pretende abrir seu código no futuro para permitir que os clientes vejam como o serviço de recuperação da carteira criptografa com segurança os dados do usuário e funciona com segurança nos bastidores, a empresa também está tornando seu serviço de recuperação público. disponível. Selecione e seja franco sobre acordos com custodiantes terceirizados, no entanto, até o momento em que este livro foi escrito, o Ledger não abriu o código necessário para o código, o que significa que ninguém, exceto o Ledger, pode verificar o que está acontecendo/segurança.
Se tudo correr como planejado, a frase inicial do usuário nunca deve deixar o dispositivo sem criptografia. No entanto, não temos nenhum método para confirmar isso ou garantir que as frases iniciais estejam corretamente preenchidas ou criptografadas.
Mas uma coisa é certa: o código agora está rodando em seu Ledger, e você pode transmitir seu mnemônico via USB/BT. De outro ângulo, sua carteira não será mais uma “carteira fria” neste ponto, mas sim uma “transição de fria para quente”. Não apenas isso, mas ser capaz de “aquecer” sua carteira com alguns toques de tecla abre uma série de novas rotas de ataque de phishing e malware, onde os hackers podem acidentalmente obter sua frase inicial.
Não podemos estabelecer se o Ledger possui proteções de segurança integradas para impedir que alguém transmita o mnemônico de fragmento criptografado para uma pessoa, três guardiões distintos, ou se o mnemônico de fragmento só pode ser entregue pelo próprio usuário.
Outro problema é que você não tem certeza de como funcionam os processos de recuperação ou descriptografia mnemônica. Os usuários devem fazer check-in no Ledger e confirmar sua identidade, mas como a descriptografia só pode ser realizada em seu próprio dispositivo, como o novo dispositivo obtém a chave de descriptografia?
Normalmente, existe um mecanismo para autorizar um novo dispositivo e enviar a chave de descriptografia em uma situação de criptografia de ponta a ponta (E2EE), no entanto, no caso de um Ledger perdido, o usuário não pode realmente fazer isso, portanto, outra pessoa devem ter o dispositivo para o qual enviaram. A recuperação mnemônica requer uma cópia de sua chave de descriptografia do Ledger.
Quem detém as chaves de descriptografia neste caso? Este é o livro-caixa? Ou é criptografado e armazenado em outro lugar após a recuperação do Ledger e a verificação do ID? Se for esse o caso, como a chave de descriptografia é mantida, criptografada e autenticada?
Além disso, se alguém descobrir que você usou o Ledger Recover e obteve seu ID, é possível que eles levem todas as suas criptomoedas, mesmo que seu Ledger esteja seguro e guardado em uma gaveta em algum lugar.
Vale a pena notar que CoinCover, o custodiante do Ledger Recover, e Onfido, ambos mencionados acima, estão sediados no Reino Unido. Outro custodiante não é nomeado no documento original, no entanto, EscrowTech nos Estados Unidos é relatado como sendo um. Se a história for precisa, isso implica que você estará sujeito à autoridade da “Inteligência dos Cinco Olhos”.
Conclusão
O aspecto mais preocupante do problema é uma aparente perda de confiança entre a Ledger e seus usuários, provocada por discrepâncias nas afirmações da empresa.
Os usuários que optarem pela atualização do Recover, por outro lado, terão suas identidades conectadas às suas carteiras de criptomoedas, aproximando a experiência de uma troca centralizada com verificações de conhecimento do cliente (KYC).
Onfido coleta todas as informações KYC. Quando você carrega/verifica sua identificação, a empresa também realiza a integração KYC e mantém o controle de seu dispositivo e comportamento atual. Você não apenas confia na Ledger e em outras partes autorizadas, mas também confia na Onfido com suas informações confidenciais. É uma calamidade em formação?
A estreia do serviço Recover da Ledger pode não ser uma boa ideia, pois viola todos os conceitos de utilização de carteiras de hardware (armazenamento frio) e envolve KYC. Ao mesmo tempo, o método de “código não aberto” torna muitos usuários do Web3 céticos em relação a suas reivindicações.
AVISO LEGAL: As informações neste site são fornecidas como comentários gerais do mercado e não constituem aconselhamento de investimento. Nós encorajamos você a fazer sua própria pesquisa antes de investir.
Junte-se a nós para acompanhar as novidades: https://linktr.ee/coincu
Harold
coincu Novidades
Outras postagens
Artigos relacionados
Novidades
FSOCIETY ameaça vazamento massivo de dados da Bitfinex: 400,000 usuários em risco
Novidades
Os agricultores do LayerZero Sybil Airdrop agora estão sendo drasticamente bloqueados por fraude
Novidades
Lançamento do Disappointment Clouds Friend Tech v2, apesar dos novos recursos interessantes
Novidades
Entrada de ETF Bitcoin mostra sinais positivos com US$ 378 milhões em 3 de maio
Novidades
Investimento da Pantera Capital TON direcionado para aprimorar as capacidades de pagamento P2P
Novidades
Presidente da SEC acusado de engano em relação à legitimidade da Ethereum!
Novidades
Roger Ver é preso na Espanha, acusado de fraude fiscal de US$ 48 milhões
Novidades
Erro de endereço resulta em perda de US$ 68 milhões no WBTC, vítima cai em esquema de phishing
Principais projetos
Os 10 melhores bots de criptografia de telegrama em 2024
Recursos Educacionais
Mineração de Bitcoin: Quanto tempo leva para extrair 1 Bitcoin?
Recursos Educacionais
Previsões eleitorais nos EUA: os efeitos e a importância do novo presidente dos EUA
Recursos Educacionais
Potenciais candidatos às eleições dos EUA em 2024: quem vencerá?
Novidades
