- >News
- >Ledger è ancora sicuro? Un recente dibattito mette in evidenza un annoso dilemma sulla sicurezza nel settore delle criptovalute
Ledger è ancora sicuro? Un recente dibattito mette in evidenza un annoso dilemma sulla sicurezza nel settore delle criptovalute
Le criptovalute hanno avuto a lungo un problema con il loro inflessibile approccio alla sicurezza. Certo, sei l’unico che può accedere e spostare i tuoi Bitcoin se sei l’unico ad avere la chiave privata del tuo portafoglio. Ma il rovescio della medaglia è che, se perdi le chiavi, perdi anche i tuoi BTC. E un simile incidente è accaduto a parecchie persone durante la breve storia delle criptovalute, e non mancano situazioni di coloro che cercano invano di recuperare le proprie fortune perdute.
Ledger ha recentemente deciso di intervenire a riguardo, annunciando Ledger Recover, un servizio che permetterà ai proprietari del portafoglio hardware Ledger Nano X di recuperare la seed phrase, così da poter recuperare il portafoglio. In linea di principio, il servizio sembrava opportuno e di facile utilizzo, e avrebbe garantito che i proprietari di portafogli non avrebbero mai perso le loro criptovalute, anche se avessero smarrito le informazioni fisiche (o digitali) della seed phrase.
Tuttavia, gran parte della comunità cripto ha reagito all’annuncio di Ledger mostrando un misto di shock e indignazione, accusando il produttore di portafogli di aver inavvertitamente introdotto una potenziale backdoor nei dispositivi. Ledger finora non è riuscita a placare tali preoccupazioni, ma si può spezzare una lancia a suo favore sostenendo che un servizio come Recover è necessario se l’industria vuole incoraggiare una maggiore adozione di criptovalute e una maggiore auto-custodia, che è diventata sempre più necessaria nel contesto di exchange hackerati e fallimenti.
Ledger Recover attira critiche nonostante le sue funzionalità aggiuntive
In teoria, Ledger Recover è semplice da capire. Fondamentalmente, il servizio divide la seed phrase di un portafoglio in tre frammenti crittografati che verrebbero archiviati con tre fornitori separati (Ledger, Coincover ed EscrowTech). In questo modo, il proprietario del suddetto portafoglio sarebbe in grado di accedere nuovamente alla sua seed phrase nel caso in cui la perdesse o non se la ricordasse.
La seed phrase di un portafoglio di criptovaluta è un insieme di 12 o 24 parole generate casualmente che possono essere utilizzate dal proprietario di un portafoglio per recuperare le sue chiavi private, che devono essere utilizzate per trasferire fondi dal portafoglio. In altre parole, se perdi le chiavi private, puoi utilizzare la seed phrase per recuperarle. A sua volta, l’obiettivo di Ledger con Recover era quello di introdurre un’ulteriore linea di difesa, fornendo un mezzo per ripristinare le chiavi.
Come spiega Ledger sul suo sito Web, dovrai “verificare la tua identità utilizzando la tua carta d’identità” per registrarti a Recover, includendo procedure KYC (Know-your-customer) necessarie per garantire che sia davvero tu a utilizzare il servizio, e non un malintenzionato. L’utilizzo di queste procedure KYC consente anche ai proprietari di portafogli di recuperare i frammenti crittografati della loro seed phrase, perché i frammenti sono inutili da soli.
Fonte: Twitter
Ledger afferma, inoltre, che Recover è un servizio aggiuntivo, il che significa che non è necessario abbonarsi se non lo si desidera. Tuttavia, tali funzionalità non sono riuscite a prevenire un’ondata piuttosto considerevole di critiche, incentrate in gran parte sul timore che il servizio potesse in qualche modo essere utilizzato come vettore d’attacco per gli hacker.
Ad esempio, l’investitore di criptovalute Ryan Berckmans ha scritto su Twitter, “Ledger firmware v2.2.1 installa Ledger Recover, un servizio negligente che estrae le chiavi private del portafoglio hardware e le trasmette su internet. La sua non è stata l’unica risposta all’annuncio di Ledger. Anche la consulente Web3 Vanessa Harris ha suggerito che il servizio “sta facendo di tutto per farsi hackerare.”
Il nocciolo della questione, secondo i critici, è che, con l’arrivo di Ledger Recover, i dispositivi Ledger avranno un firmware che li rende in grado di inviare le chiavi private di un portafoglio su internet. Certo, Ledger ha ripetutamente affermato in sua difesa che gli utenti devono aderire al servizio per utilizzarlo effettivamente e che le chiavi private non possono essere riunite senza che l’utente fornisca una prova di identità. Tuttavia, il timore è che con questa funzionalità di base scritta nel codice dei dispositivi, gli hacker più scaltri possano trovare un modo per sfruttarla.
Trezor segnala un picco di vendite, Ledger posticipa il lancio
Sulla scia di tali timori, Trezor ha riportato un aumento del 900% nella vendita dei suoi dispositivi, anche se non ha riportato analisi a riprova di questi dati. Tuttavia, dato che alcuni sono arrivati al punto di affermare che Ledger ha “quasi distrutto la sua reputazione“, è del tutto plausibile che Trezor ne abbia approfittato per accrescere le sue vendite. Ciò sarebbe avvenuto nonostante il fatto che la società di sicurezza Unciphered avesse annunciato , subito dopo la controversia su Ledger, di essere in grado di hackerare fisicamente il portafoglio hardware Trezor T e che non sia possibile risolvere il problema “a livello di chip”.
Di fronte a una situazione così delicata, Ledger si è ovviamente dato da fare per calmare le acque. Per prima cosa, ha annunciato tramite un post sul blog che avrebbe posticipato il lancio di Recover e reso il codice di quest’ultimo open source, in modo che gli sviluppatori e i membri della community possano controllare questo codice da soli (e di conseguenza vedere che è sicuro).
Inoltre, ha pubblicato una pagina con le domande frequenti su Ledger Recover che risponde direttamente a vari quesiti e richieste poste dalla community. Ciò include la rassicurazione che è possibile accedere alla chiave privata del dispositivo “solo dopo averla approvata e confermata manualmente”. Afferma inoltre che non ci sarebbe alcun vantaggio in termini di sicurezza nell’avere due sistemi operativi separati (come suggerito da alcuni utenti), uno con le possibilità di utilizzare Recover e l’altro senza.
Ciò detto, il CEO di Ledger, Pascal Gauthier, ha riconosciuto la possibilità teorica che si possa accedere a una seed phrase supportata dal servizio Recover per un mandato di comparizione rilasciato del governo, costringendo i tre fornitori indipendenti del servizio a consegnarne i frammenti. Questa ammissione conferma che ogni soluzione per aumentare la sicurezza informatica presenta i propri problemi. E Recover non fa eccezione. Nonostante i suoi possibili punti deboli, alcuni membri della community hanno affermato che il servizio potrebbe tornare utile per coloro che non dispongono delle competenze tecniche per archiviare in modo sicuro le seed phrase.
In definitiva, si può dire che Recover abbia facilitato per molti utenti l’auto-custodia dei propri portafogli. Si tratta di un aspetto da non sottovalutare, visto quanto può essere spietata la crittografia nel caso in cui si perdano le proprie chiavi private. Infatti, glassnodes ha stimato che circa tre milioni di BTC, per un valore di circa 83,46 miliardi di dollari, siano andati perduti per sempre, mettendo in evidenza l’altra faccia del rigidissimo sistema di sicurezza di Bitcoin. Se non altro, questo dimostra che una funzionalità come Recover è decisamente necessaria, soprattutto se sempre un maggior numero di piccoli e grandi investitori parteciperà al mercato delle criptovalute. Anche se Ledger potrebbe non aver centrato esattamente l’obiettivo, ha fatto un passo nella giusta direzione lanciando il suo nuovo servizio.