Cryptonews Blockchain News Grossi guai per il wallet Ledger: l’aggiornamento per la seed phrase è un fiasco!

Grossi guai per il wallet Ledger: l’aggiornamento per la seed phrase è un fiasco!

Marcello Bonti
Marcello Bonti
| 4 min read

Uno tra i più noti provider di cold wallet, Ledger è sotto l’occhio del ciclone dopo l’ultimo aggiornamento. Di base, la compagnia puntava a semplificare il recupero della seed phrase ma ha suscitato l’ira della community che ha espresso tutto il proprio disappunto sui social.

Ledger ha risposto alle critiche e ha fatto riferimento a diverse inesattezze nelle accuse.

Il nuovo servizio di recupero della seed phrase di Ledger


Il nuovo servizio per il recupero della seed phrase di Ledger si chiama Ledger Recover.

Offre maggiori garanzie in caso di smarrimento della speciale password. È stato rilasciato insieme all’ultimo aggiornamento del firmware del wallet di Ledger.

Si tratta di un servizio in abbonamento che garantisce un livello di protezione extra per proteggere l’accesso al wallet e al suo contenuto.

La novità sta nel fatto che Ledger Recover divide la seed phrase in tre parti crittografate che vengono affidate a tre entità: Ledger, Coinover e una terza parte.

Un portavoce di Ledger ha spiegato:

“Ogni frammento viene memorizzato dalle parti su moduli di sicurezza hardware (HSM) che sono di fatto dei Ledger super-potenziati. È lo stesso metodo che usiamo per Ledger Enterprise. Ogni frammento è inutile da solo e può essere decifrato solo su un Ledger. Sono completamente sicuri.”

Gli utenti possono ricostruire la frase originale una volta che i frammenti separati sono stati combinati e decifrati. L’azienda ha inoltre dichiarato che il servizio è facoltativo e che gli utenti di Ledger non sono obbligati a utilizzarlo se non lo desiderano.

“Non siete obbligati a usarlo e potete continuare a gestire da soli la vostra frase di recupero se è per questo che avete acquistato un Ledger.”

Dov’è il problema?


Se da una parte Ledger crede con entusiasmo nel nuovo aggiornamento, la reazione della community è stata opposta.

Infatti, per utilizzare il servizio, gli utenti devono fornire una carta d’identità o un passaporto, e la frase seed dovrebbe essere affidata a “custodi esterni”.

Diversi membri di spicco della community crypto e proprietari di wallet Ledger sono intervenuti sui social criticando Ledger per quello che alcuni utenti hanno definito un “disastro pronto per succedere”.

Un utente di Reddit ha spiegato:

“Questo è un disastro pronto per succedere. Non riesco a credere a quello che sto leggendo; sembra assolutamente folle che un fornitore di hardware wallet ti incoraggi a fare il backup della tua seed phrase online E a dare loro il tuo passaporto/ID, specialmente a chi ha già subito una violazione dei dati!”

Ledger nel 2020 aveva subito una grave fuga di dati, in quell’occasione numeri di telefono e indirizzi fisici di oltre 300.000 clienti erano stati esposti.

In quell’occasione anche le mail di oltre un milione di utenti erano state trafugate.

Altri, come l’investitore Chris Dunn e l’investitore crypto DCinvestor, hanno ricordato la famigerata fuga di dati criticando il nuovo Seed Phrase Recovery Service di Ledger. Dunn ha dichiarato,

“Prima hanno perso gli indirizzi fisici, i numeri di telefono e gli indirizzi mail dei loro clienti… E ora hanno messo una backdoor alle frasi seed. È ora di dire addio a @Ledger.”

Anche DCinvestor non si è trattenuto, dichiarando:

“Ricordiamo che anni fa Ledger ha fatto trapelare i nomi e gli indirizzi domestici di tutti i suoi clienti attraverso una violazione dei dati. [L’ultima cosa che vorreste sui loro server è la vostra password].”

Il responsabile della sicurezza informatica di Polygon, Mudit Gupta, l’ha definita un’idea orrenda e ha esortato Ledger a non abilitare la nuova funzione.

In un thread su Twitter, Gupta ha spiegato che le chiavi criptate verrebbero inviate a tre società che potrebbero ricostruire le chiavi private, con conseguenti gravi problemi di sicurezza. Il CEO di Binance Changpeng Zhao ha risposto a Gupta, aggiungendo,

“Quindi il seed può lasciare il dispositivo? Sembra una direzione diversa rispetto a “le seed non lasciano mai il dispositivo””.

Adrian Hetman, tech lead di ImmuneFi, ha definito la nuova funzione una cattiva misura di sicurezza, affermando che,

“Esporre la frase e poi permettere a chiunque abbia un documento d’identità o un passaporto di accedere nuovamente ai fondi bloccati è una cattiva strategia di sicurezza. Il furto di identità è comune e questo esporrebbe gli utenti di criptovalute a una nuova forma di attacco.”

Ledger respinge le critiche


Ledger ha risposto alla raffica di critiche contro il suo nuovo servizio, affermando che ci sono “molte inesattezze” e che non c’è nessuna backdoor o vulnerabilità di sicurezza. In risposta a Hetman, Ledger ha dichiarato che il documento d’identità è solo una parte di un processo complesso e non rappresenta un rischio per la sicurezza.

“Abbiamo anche un rilevamento completo del movimento usando la fotocamera, si ricevono messaggi random che non possono essere falsificati o preregistrati. Il tutto viene esaminato dalla tecnologia e dagli esseri umani per garantire la corrispondenza prima di avviare il processo di recupero. Quindi, chi ruba la vostra carta d’identità non sarà in grado di recuperare la vostra [Secret Recovery Phrase] SRP”.

Ledger ha definito il nuovo servizio un servizio altamente sicuro testato dal suo team Donjon che aveva già rilevato violazioni in diversi wallet, tra cui TrustWallet.

“Se volete maggiore tranquillità o trovate che la gestione delle seed phrase sia un ostacolo, ora avete a disposizione un servizio altamente sicuro, testato dal nostro team Donjon, che ha messo a nudo le violazioni di TrustWallet e di molti altri wallet, sia software che hardware”.

L’azienda ha anche aggiunto che il nuovo servizio è opzionale e che se un utente non desidera utilizzarlo, può scegliere di non abilitarlo. Ha aggiunto che chi desidera usare il servizio dovrà avviare un processo di approvazione che utilizza la visualizzazione sicura del proprio portafoglio Ledger.

___

Leggi anche:

 

Segui Cryptonews Italia sui canali social

 

Articoli consigliati

Previsione Prezzi
Un esperto di criptovalute ha svelato a quale prezzo acquistare Bitcoin
Bitcoin News
Bitcoin: è finita l’era della speculazione. Ecco il nuovo futuro della più importante criptovaluta
Bitcoin News
Bitcoin: Allerta svendita col crollo degli ETF e la fuga di capitali
Ethereum News
I migliori 3 token basati su Ethereum per investire a maggio
Blockchain News
Changpeng Zhao condannato a 4 mesi di carcere dopo il patteggiamento
Bitcoin News
Previsioni Bitcoin: BTC precipita a $56.000 ed è allarme rosso per le crypto

Ultime notizie

Ethereum News
I migliori 3 token basati su Ethereum per investire a maggio
Blockchain News
Changpeng Zhao condannato a 4 mesi di carcere dopo il patteggiamento
Bitcoin News
Previsioni Bitcoin: BTC precipita a $56.000 ed è allarme rosso per le crypto
Altcoin News
Cardano: Le whale accumulano grosse quantità di token ADA. È il momento di entrare?
Bitcoin News
Previsioni prezzo Bitcoin: BTC precipita di nuovo sotto i 62.000 dollari
Altcoin News
Questa prevendita Crypto AI potrebbe lanciare la criptovaluta dell’anno
Blockchain News
Bitcoin verso i 60.000 e altcoin in caduta verticale: è finita la Bull Run?

Potrebbe interessarti anche...