Virtuele munten, reële risico’s. De enige garantie in crypto is het risico.

Ledger update roept veel vragen op

De populairste hardware wallet producent ter wereld maakte de voorbije week misschien wel de grootste blunder uit zijn 9 jarige geschiedenis. Op 16 mei werd de nieuwe Ledger firmware versie 2.2.1 gelanceerd die de nieuwe functionaliteit ‘Ledger Recover’ bevat. Deze controversiële update maakt het mogelijk om je private key uit je hardware wallet toestel te exporteren. Veel van de veiligheidsprincipes waar Ledger de laatste jaren mee werd geassocieerd worden hierdoor aanzienlijk ondermijnd.

De nieuwe ‘Ledger Recover’ functie zou vooral bedoeld zijn voor mensen die zelf niet verantwoordelijk willen zijn voor het beheer van hun Bitcoin. Wanneer je de Recover functie activeert wordt je private key opgedeeld in drie fragmenten via de bekende cryptografische tool “Shamir Secret Sharing”. Vervolgens worden deze drie fragmenten gekoppeld aan de identiteit van de Ledger gebruiker, geëxporteerd uit je Ledger toestel, en tenslotte verzonden naar drie verschillende jurisdicties. Ledger gaf al aan dat zij één van de drie fragmenten in bewaring zullen nemen in Frankrijk. De andere 2 fragmenten worden respectievelijk naar de bedrijven Coincover in het VK en Escrowtech in de VS verzonden.

Op deze manier kunnen mensen die hun hardware wallet verliezen, na een identiteitscontrole bij Ledger, hun private key eenvoudigweg terugvragen en overdragen naar een nieuw Ledger toestel. De keerzijde van de medaille is natuurlijk wel dat eender welk persoon die 2 van de 3 fragmenten kan bemachtigen volledige controle heeft over je private key.

Ledger Recovery op alle toestellen

Hoewel Ledger de laatste week duidelijk beklemtoonde dat deze functionaliteit ten alle tijden optioneel is, zal de firmware die deze functionaliteit bevat vanaf nu standaard op elk toestel geïnstalleerd worden. Met andere woorden: elk Ledger toestel (buiten het verouderde Nano S model dat niet krachtig genoeg is voor de Recover functie) dat firmware versie 2.2.1 of later bevat, beschikt intrinsiek over de capaciteit om je private key vrij te geven.

We verwachten dan ook een nieuwe golf aan ‘social engineering’ waarbij mensen door oplichters om de tuin worden geleid om de ‘Recover’ functie nietsvermoedend te activeren waarna hun private key onbedoeld wordt prijsgegeven.

Wat met identiteitsdiefstal?

De drie fragmenten worden steeds gekoppeld aan je persoonlijke identiteit. Dit impliceert dat het Ledger bedrijf verantwoordelijk zal zijn voor het opvragen en beheren van de persoonlijke gegevens van mensen die zich aanmelden voor het ‘Recovery’ proces. Spijtig genoeg heeft Ledger een zeer slechte reputatie wat privacybeleid betreft. In juli 2020 werd de identiteit van maar liefst 270.000 Ledger gebruikers te grabbel gesmeten na een hack. Hoe kan Ledger de garantie geven dat dit niet opnieuw zal gebeuren? 

Daarnaast is het ook belangrijk om te beseffen dat identiteitsverificatie geen exacte wetenschap is. Als slechts een bescheiden fractie van de 6 miljoen Ledger gebruikers zich aanmeldt voor het ‘Recovery’ programma, wordt het een quasi onmogelijke opdracht om voor al deze klanten een grondige identiteitscontrole te garanderen. 

De vraag is dan ook of het hardware wallet bedrijf zich zal kunnen wapenen tegen gesofisticeerde fraudeurs die, door gebruik te maken van identiteitsdiefstal, private keys van Ledger gebruikers proberen te bemachtigen.

Wat met overheidsinmenging?

Last but not least is er natuurlijk ook nog het probleem van overheden die Ledger, Coincover of Escrowtech onder druk kunnen zetten. Zoals voormalig Ledger CEO Éric Larchevêque enkele dagen geleden al aangaf is dit technisch perfect mogelijk.

Ook huidig CEO Pascal Gauthier gaf gisteren in een interview toe dat mensen die vrezen voor een dramatische inbreuk op burgerrechten, zoals bijvoorbeeld de inbeslagname van bankrekeningen bij Canadese truckers vorig jaar, best geen gebruik maken van de ‘Recovery’ functie.

Nieuws

WEF wil crypto reguleren

Het WEF publiceerde op 25 mei een nieuwe white paper met de de naam “Pathways to Crypto-Asset Regulation” waarin het beklemtoont dat er dringend meer regulatie nodig is. De paper bevat de gebruikelijke ongegronde beschuldigingen en vooroordelen over Bitcoin. Zo doen de auteurs een oproep

LEES VERDER »

Ledger stelt update uit na aanhoudende kritiek

Het regende bakken kritiek toen Ledger op 16 mei aankondigde dat het een nieuwe backup feature genaamd “Recover” zou lanceren. Zoals we vorige week al uitvoerig beschreven zou deze nieuwe update verschillende veiligheidsrisico’s inhouden en een serieuze afwijking zijn van de veiligheidsprincipes die het bedrijf

LEES VERDER »

Amerikaanse debt ceiling weer opgetrokken

President Joe Biden heeft eindelijk een deal te pakken over de nakende “debt ceiling” die vandaag nog steeds is vastgelegd op $31,4 biljoen. Dit schuldenplafond is een louter Amerikaans fenomeen waarbij de overheid van de VS zichzelf een limiet oplegt wat betreft het maximum aan

LEES VERDER »

Presidentskandidaat steelt de show op Bitcoin Miami

De grootste Bitcoin conferentie ter wereld zit er weer op. Drie dagen lang werden bezoekers getrakteerd op presentaties van de allergrootste Bitcoin sprekers zoals Michael Saylor, Stephan Livera, Caithlin Long, Adam Back en presidentskandidaat Robert F. Kennedy Jr. Saifedean Ammous kwam onder andere zijn nieuwste

LEES VERDER »