RECOVER - LEDGER'S LATEST L



Trust me bro.

La nueva actualización del firmware de Ledger tiene en crisis a la comunidad cripto.

La opción de activar un servicio de recuperación de Ledger basado en la identidad (con un precio de 10 dólares al mes) hace que muchos se pregunten sobre las capacidades de los dispositivos, que funcionan con código cerrado.

Los fabricantes de la principal hardware wallet de cripto han asegurado a los usuarios que las copias de seguridad necesarias para restaurar un dispositivo no se generan a menos que el usuario opte por participar…

…pero Ledger no tiene el mejor historial con los datos sensibles de los usuarios.

Hace casi tres años, se robaron los nombres, direcciones y números de teléfono de un cuarto de millón de usuarios, a pesar de que Ledger inicialmente creyó que menos de 10,000 usuarios se habían visto afectados.

Seis meses después, se publicaron en línea.

En ese momento, escribimos :

En el mejor de los escenarios Ledger ha suministrado una lista de objetivos a los estafadores de tipo SIM swapping y campañas de phishing.

El robo de identidad es trivial en comparación con la fuerza bruta de una clave privada.

¿Cuánto tiempo hasta que un sim-swapper 'recupere' la primera Ledger wallet?

¿Y qué ocurrirá cuando el gobierno o las fuerzas del orden exijan el acceso a una dirección?

La última actualización de firmware de Ledger permite a los usuarios optar por un servicio de recuperación de claves basado en ID.

El servicio Ledger Recovery, basado en suscripción, funciona de manera similar a Shamir's Secret Sharing, respaldando y dividiendo la frase inicial en tres fragmentos encriptados. Cada uno de estos se envía a un "proveedor de servicios de respaldo" por separado, y se puede usar para restaurar la semilla al pasar una verificación de identificación.

Si bien se debe tener en cuenta que la semilla no se respalda a menos que un usuario opte por este servicio, el mero hecho de que sea posible ha causado revuelo.

Y sin un código open-source para verificar, la palabra de Ledger es todo lo que tenemos...

Parte del atractivo de cualquier hardware wallet es el entendimiento de que las claves privadas nunca salen del dispositivo. En noviembre de 2022, Ledger respondió a la preocupación de un usuario sobre posibles filtraciones de claves privadas luego de las actualizaciones de firmware de la siguiente manera:

Hola, sus claves privadas nunca salen del chip Secure Element, que nunca ha sufrido un hack. El elemento seguro está certificado por terceros y es la misma tecnología que se usa en pasaportes y tarjetas de crédito. Una actualización de firmware no puede extraer las claves privadas del elemento seguro.

Parece que los dispositivos Ledger, incluido el Secret Enclave, han sido actualizables todo el tiempo.

Si bien es posible que las suposiciones de confianza sigan siendo las mismas de siempre, la idea de que los dispositivos se fabricaron con la capacidad de enviar fragmentos de frases iniciales a terceros parece bastante preocupante.

Pero teniendo en cuenta el historial de Ledger, ¿los usuarios seguirán confiando en ellos?

Las hardware wallets hacen que sea casi imposible que los delincuentes toquen los fondos de un usuario sin obtener acceso físico.

Los ataques de phishing aún pueden ser viables, algo con lo que Ledger ayudó hace tres años…

Para aquellos más preocupados de que las autoridades (en lugar de los delincuentes) vengan por sus monedas, la posibilidad de que exista una posible puerta trasera es un anatema.

Sin embargo, como señala Mudit Gupta, la recuperación de cuentas basada en ID también es preocupantemente insegura en sí misma. El robo de identidad con fines de SIM swapping es algo común, especialmente en esta industria.

La recuperación de una frase semilla perdida o el acceso a los fondos en un dispositivo perdido suenan como características amigables con las normas, que atraen a aquellos que se sienten desalentados por la paranoia de muchos cripto OG.

A pesar de todo el ruido hecho por los idealólogos, muchos usuarios ocasionales de cripto pueden preferir esta funcionalidad a la responsabilidad de la autocustodia sin diluir.

Y con una etiqueta de precio de $10 / mes, Ledger ciertamente confía en ello.

Al menos no está en un CEX, ¿verdad?

…¿verdad?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.