Virtuele munten, reële risico’s. De enige garantie in crypto is het risico.

Ledger update roept veel vragen op

De populairste hardware wallet producent ter wereld maakte de voorbije week misschien wel de grootste blunder uit zijn 9 jarige geschiedenis. Op 16 mei werd de nieuwe Ledger firmware versie 2.2.1 gelanceerd die de nieuwe functionaliteit ‘Ledger Recover’ bevat. Deze controversiële update maakt het mogelijk om je private key uit je hardware wallet toestel te exporteren. Veel van de veiligheidsprincipes waar Ledger de laatste jaren mee werd geassocieerd worden hierdoor aanzienlijk ondermijnd.

De nieuwe ‘Ledger Recover’ functie zou vooral bedoeld zijn voor mensen die zelf niet verantwoordelijk willen zijn voor het beheer van hun Bitcoin. Wanneer je de Recover functie activeert wordt je private key opgedeeld in drie fragmenten via de bekende cryptografische tool “Shamir Secret Sharing”. Vervolgens worden deze drie fragmenten gekoppeld aan de identiteit van de Ledger gebruiker, geëxporteerd uit je Ledger toestel, en tenslotte verzonden naar drie verschillende jurisdicties. Ledger gaf al aan dat zij één van de drie fragmenten in bewaring zullen nemen in Frankrijk. De andere 2 fragmenten worden respectievelijk naar de bedrijven Coincover in het VK en Escrowtech in de VS verzonden.

Op deze manier kunnen mensen die hun hardware wallet verliezen, na een identiteitscontrole bij Ledger, hun private key eenvoudigweg terugvragen en overdragen naar een nieuw Ledger toestel. De keerzijde van de medaille is natuurlijk wel dat eender welk persoon die 2 van de 3 fragmenten kan bemachtigen volledige controle heeft over je private key.

Ledger Recovery op alle toestellen

Hoewel Ledger de laatste week duidelijk beklemtoonde dat deze functionaliteit ten alle tijden optioneel is, zal de firmware die deze functionaliteit bevat vanaf nu standaard op elk toestel geïnstalleerd worden. Met andere woorden: elk Ledger toestel (buiten het verouderde Nano S model dat niet krachtig genoeg is voor de Recover functie) dat firmware versie 2.2.1 of later bevat, beschikt intrinsiek over de capaciteit om je private key vrij te geven.

We verwachten dan ook een nieuwe golf aan ‘social engineering’ waarbij mensen door oplichters om de tuin worden geleid om de ‘Recover’ functie nietsvermoedend te activeren waarna hun private key onbedoeld wordt prijsgegeven.

Wat met identiteitsdiefstal?

De drie fragmenten worden steeds gekoppeld aan je persoonlijke identiteit. Dit impliceert dat het Ledger bedrijf verantwoordelijk zal zijn voor het opvragen en beheren van de persoonlijke gegevens van mensen die zich aanmelden voor het ‘Recovery’ proces. Spijtig genoeg heeft Ledger een zeer slechte reputatie wat privacybeleid betreft. In juli 2020 werd de identiteit van maar liefst 270.000 Ledger gebruikers te grabbel gesmeten na een hack. Hoe kan Ledger de garantie geven dat dit niet opnieuw zal gebeuren? 

Daarnaast is het ook belangrijk om te beseffen dat identiteitsverificatie geen exacte wetenschap is. Als slechts een bescheiden fractie van de 6 miljoen Ledger gebruikers zich aanmeldt voor het ‘Recovery’ programma, wordt het een quasi onmogelijke opdracht om voor al deze klanten een grondige identiteitscontrole te garanderen. 

De vraag is dan ook of het hardware wallet bedrijf zich zal kunnen wapenen tegen gesofisticeerde fraudeurs die, door gebruik te maken van identiteitsdiefstal, private keys van Ledger gebruikers proberen te bemachtigen.

Wat met overheidsinmenging?

Last but not least is er natuurlijk ook nog het probleem van overheden die Ledger, Coincover of Escrowtech onder druk kunnen zetten. Zoals voormalig Ledger CEO Éric Larchevêque enkele dagen geleden al aangaf is dit technisch perfect mogelijk.

Ook huidig CEO Pascal Gauthier gaf gisteren in een interview toe dat mensen die vrezen voor een dramatische inbreuk op burgerrechten, zoals bijvoorbeeld de inbeslagname van bankrekeningen bij Canadese truckers vorig jaar, best geen gebruik maken van de ‘Recovery’ functie.

Nieuws

DeFi TVL bereikt terug $ 50 miljard na rally

DeFi-protocollen bereiken een mijlpaal van $50 miljard te midden van stijgende activawaarden en interesse van beleggers, waarbij op Ethereum en Solana gebaseerde projecten leidende winsten opleveren. Terwijl de waarde van activa stijgt en de belangstelling van investeerders toeneemt, bereikten de DeFi-protocollen voor het eerst in zes maanden een kapitaalmijlpaal van $50 miljard.

LEES VERDER »

Tether, MicroStrategy en El Salvador maken enorme winsten met Bitcoin

Tether haalt meer dan $1,1 miljard uit Bitcoin-investeringen, vergroot zijn BTC-bezit met strategische aankopen en profiteert van de recente prijsstijging. De voorzitter van MicroStrategy, tevens Bitcoin-investeerder Michael Saylor, heeft ruim 1,5 miljard dollar winst gemaakt met zijn Bitcoin-investeringen. Volgens de Salvadoraanse president Nayib Bukele zijn de gecumuleerde investeringen in Bitcoin in El Salvador met bijna 3% gestegen.

LEES VERDER »

COIN aandeel scheert hoge toppen en overtreft zelfs Bitcoin!

Cryptocurrency-beurs Coinbase (COIN) heeft dit jaar een indrukwekkende stijging van bijna 300% gezien in de prijs van de aandelen, waarmee ze de prestaties van de leidende cryptocurrency Bitcoin (BTC) overtreft. Analisten suggereren dat verdere winsten op handen kunnen zijn, aangezien de prijs van COIN nu

LEES VERDER »

Nieuw kapitaal stroomt toe in crypto via stablecoins!

Vers kapitaal stroomt de cryptomarkt binnen via stablecoins. De stablecoin Tether (USDT) kent eindelijk een opleving, na een neergang van een jaar. Tether voegde sinds september $7 miljard dollar toe aan zijn marktkapitalisatie, en deze zit nu aan een all-time high van bijna $90 miljard

LEES VERDER »

Bitcoin gaat parabolisch!

Bitcoin schoot op dinsdag voorbij de $44.000 dollar op Coinbase, wat zijn hoogste niveau sinds april 2022 markeerden. Dit komt overeen met een stijging van bijna 5% in de laatste 24 uur. De stijging in de waarde van Bitcoin wordt toegeschreven aan groeiende anticipatie op

LEES VERDER »

Bitvavo stopt met video wallet verificatie

Deze week zal Bitvavo de video wallet verificatie gaan uitfaseren. Intern is er hard gewerkt om het beveiligingsniveau van gebruikersaccounts te verhogen met onder andere de “crypto-withdraw-lock” en de verplichte 2FA. Mede hierdoor is het mogelijk dat vanaf volgende week geen video verificatie meer nodig is om nieuwe opname adressen toe te voegen.

LEES VERDER »