Il lancio di Ledger Recover – un nuovo servizio che consente agli utenti dell'hardware wallet Ledger di eseguire il backup delle loro frasi segrete di recupero – è stato accolto con immensa resistenza dalla crypto community. Il cofondatore ed ex-CEO di Ledger, Éric Larchevêque, ha definito le critiche contro Ledger "un totale fallimento a livello di pubbliche relazioni, ma assolutamente non a livello tecnico".

Ledger Recover è un aggiornamento del firmware over-the-air che consente agli utenti di eseguire il backup delle proprie seed phrase con entità di terze parti. Qualora un utente opti per il nuovo servizio, i frammenti della frase di recupero vengono crittografati e memorizzati da tre parti, consentendo all'utente di recuperare la frase in futuro. Tuttavia, la possibilità che la frase di recupero lasci l'hardware wallet non ha riscosso il favore degli utenti, che consideravano Ledger un servizio trustless per l'archiviazione delle criptovalute.

In risposta alle crescenti preoccupazioni degli utenti di tutto il mondo, Larchevêque ha pubblicato un post su Reddit in cui chiarisce che Ledger non è mai stata una soluzione trustless:

"È necessario riporre una certa fiducia in Ledger per utilizzare il suo prodotto. Se non ci si fida di Ledger, ovvero si considera il produttore di HW come un avversario, non può funzionare affatto".

Ha affermato che l'aggiornamento di Ledger Recover non influisce sul modello di sicurezza dell'hardware wallet, aggiungendo:

"Il mio errore come CEO durante il mio mandato è stato probabilmente quello di non essere abbastanza inflessibile nello spiegare il modello di sicurezza, ma a un certo punto ti arrendi perché alle persone non interessa affatto. Fino a quando non si interessano di nuovo, come adesso".

Larchevêque ritiene che l'unica cosa ad essere cambiata sia stata tale prospettiva dell'utente in generale sulla mancanza di fiducia e che il codice Recover nel firmware non fosse dannoso:

"Ledger è ancora sicuro, non c'è alcuna backdoor, il Ledger Recover non è una congiura, nessuno obbligherà mai nessuno a usare Recover".

Affidare a Ledger lo sharding della seed phrase è proprio come affidare a Ledger la firma di una transazione, ha aggiunto. Rispondendo alla raccomandazione di un utente di avere due firmware diversi per eliminare i problemi di "backdoor", Larchevêque ha replicato che "non cambierebbe nulla" e sarebbe spiacevole per lui personalmente.

L'aggiornamento del firmware in questione non è disponibile per il Nano S, il portafoglio hardware più economico di Ledger, poiché il chipset non dispone di memoria sufficiente per memorizzare il nuovo firmware.

Durante il lancio del controverso aggiornamento del firmware di Ledger, il provider di hardware wallet concorrente GridPlus ha deciso di sfruttare la controversia come opportunità di marketing, annunciando di rendere open-source il proprio firmware per i suoi utenti nel terzo trimestre del 2023, al fine di garantire una maggiore trasparenza. 

Il marchio più affidabile nel campo della crittografia, a cui i governi di tutto il mondo si sono affidati per decenni per le loro applicazioni di massima sicurezza, ha venduto prodotti sabotati dalla CIA. Come possiamo assicurarci che questo non accada di nuovo? Software open-source.

GridPlus renderà open-source il suo firmware nel terzo trimestre. 

Traduzione a cura di Walter Rizzo