Für einen CEO ist es nicht intuitiv, einen Konkurrenten zu verteidigen, insbesondere wenn dieser eine Funktion einführt, die der ähnelt, die wir vor Jahren entwickelt haben. Aber angesichts des Debakels um Ledgers neue Funktion „Ledger Recover“ ist es an der Zeit, eine ausgewogene Perspektive zu bieten.
Das Unternehmen steht in der Kritik, weil es ein Update seiner Wallet-Firmware veröffentlicht hat, das es ihm ermöglicht, eine Version der Wallet-Seed-Phrase an Dritte zu senden. Aber die Empörung erscheint unverhältnismäßig. Die Annahme, dass Ledger fahrlässig „Startphrasen an einen Server sendet“, ist grundsätzlich falsch. Um es klar zu sagen: Das neue System ist nur Opt-in-fähig. Es gibt keine erzwungene Teilnahme oder versteckte Hintertür. Der Seed wird mithilfe von Shamir Secret Sharing, einem angesehenen kryptografischen Verfahren, lokal in drei verschlüsselte Shards aufgeteilt und verschlüsselt versendet, eine Praxis, mit der die Branche seit Jahren vertraut ist.
Eines der Unternehmen, die die Shards hosten, ist EscrowTech, ein Unternehmen, das wir vor vier Jahren in den Kryptosektor eingeführt haben. Ich bin zuversichtlich, dass Ledger trotz unserer Rivalität erfolgreich ein System implementieren kann, das seinen Ansprüchen gerecht wird. Sie haben in der Vergangenheit Engagement und Ernsthaftigkeit gezeigt, und es gibt keinen Grund, jetzt etwas anderes zu erwarten.
WTF ist das echt @Hauptbuch ? Das ist unwirklich, ich werde buchstäblich krank
Haben Sie eine Ahnung, wie viel Geld Ihre Geräte sichern?
Haben Sie die ganze Zeit gelogen und gesagt, dass auf den Seed auf dem Gerät sowieso nicht zugegriffen werden kann? pic.twitter.com/34txno7koR
– Clouted (@CloutedMind) 16. Mai 2023
Angesichts der Gegenreaktion ist es wichtig, sich daran zu erinnern: Wenn es Ihnen nicht gefällt, verwenden Sie es nicht. Zeitraum.
Wir haben immer danach gestrebt, ein Upgrade für solche Systeme bereitzustellen, aber für diejenigen, die sich dafür entscheiden, bei Startphrasen zu bleiben, ist Ledger Recover unbestreitbar ein Fortschritt. Ich würdige Ledger, wo es gebührt: Um wirklich Milliarden einzubeziehen und Vermögenswerte in unser selbstverwaltetes Universum zu verschieben, ist Ledger Recover eine potenzielle Lösung. Sicher verschlüsselte Geheimnisse, die in der Cloud gespeichert werden, sind die Zukunft, nicht Papierstücke oder Stahlplatten, die unter Ihrer Matratze oder noch schlimmer in einem Banktresor aufbewahrt werden (die Ironie …)!
Verwandt: Elizabeth Warren drängt den Senat, Ihre Krypto-Wallet zu verbieten
Allerdings hat Ledger ein paar Dinge falsch gemacht. Ihr Lösungsvorschlag identifiziert ein grundlegendes Problem, das von Ledger Recover nicht behoben werden kann: Seed-Phrasen. Ich mag sie nicht und halte sie für veraltet und für die persönliche Sicherheit ungeeignet. Allein Bitcoin (BTC) im Wert von schätzungsweise 100 Milliarden US-Dollar sind im letzten Jahrzehnt durch Missmanagement von Seed-Phrasen verloren gegangen oder gestohlen worden. Und es wird nicht besser: Jeden Tag tauchen in Foren wie Reddit und Twitter neue Geschichten über die Verlegung und den Verlust wichtiger Schlüssel auf.
Seed-Phrasen stellen einen Single Point of Failure dar, der den Benutzer zu stark belastet und anfällig für menschliches Versagen, Phishing-Angriffe, Kontoübernahmen und viele weitere Katastrophen ist. Multiparty-Computing-Wallets (MPC) und andere kampferprobte kryptografische Techniken bieten weit überlegene Kompromisse, während Seed-basierte Ansätze in der heutigen, sich schnell weiterentwickelnden digitalen Landschaft veraltet erscheinen.
Die aktuellen Benutzer von Ledger, hauptsächlich eingefleischte Krypto-Enthusiasten, fühlen sich betrogen, aber das bestehende Seed-Modell funktioniert einfach nicht für jeden. Sogar Ledger hat dies auf seiner eigenen Website bestätigt.
Ledger Recover ignoriert nicht nur die grundlegende Sicherheitslücke in der Seed-Phrase, sondern hat auch seine eigenen Probleme: Das einseitige Firmware-Update, das Closed-Source-Sharding, das Know Your Customer (KYC)-Gating, das Pay-to-Recover-System und vieles mehr Vor allem das „Vertrauen Sie mir, das ist nur Opt-in“ ohne Möglichkeit, den Quellcode zu überprüfen. Der geschlossene Kodex, die Abhängigkeit von externen Depotbanken und die Sieben-Tage-Frist bei Zahlungseinstellung werden sicherlich noch mehr Fragen aufwerfen (und haben es bereits getan).
Die Einführung von Ledger Recover könnte auch zu neuen Angriffsvektoren innerhalb und außerhalb von Systemen führen: Von lokaler Malware bis hin zu staatlicher Nötigung, Social Engineering (bereits in großem Umfang bei der letzten E-Commerce-Verletzung eingesetzt) und gefälschter KYC-Wiederherstellung, die angegangen werden müssen. Schließlich hätten die Kommunikation und das Timing von Ledger besser artikuliert und es geschafft werden können, den aktuellen Aufruhr zu vermeiden.
Verwandt: Kryptowährungs-Miner führen die nächste Stufe der KI an
Dies ändert jedoch nichts an der Tatsache, dass sie versuchen, Innovationen zu entwickeln und die Benutzersicherheit zu verbessern, wenn auch auf andere Weise als wir.
Ich schlage Ledger vor, ein umfassendes End-to-End-Demovideo, ein dokumentiertes Whitepaper mit möglichen Prüfberichten Dritter und eine ausführliche Erklärung der Funktionsweise von Ledger Recover bereitzustellen. In den FAQs bleiben Fragen unbeantwortet und die Kunden geraten in Vermutungen oder interpretieren den Service falsch. Die Community dachte, sie könne dir blind vertrauen, aber das musst du dir nach dieser Episode zurückverdienen.
Dies ist kein eindeutiger Fall von richtig oder falsch. Ledger macht Fortschritte in die richtige Richtung und hat in einem unglaublich feindseligen Umfeld eine bemerkenswerte Erfolgsbilanz aufgebaut – das wissen wir aus erster Hand. Aber sie haben auch Raum zum Lernen und zur Verbesserung.
Die Einführung eines neuen Sicherheitspfads, auch wenn dieser optional ist, ist so, als würde man darum bitten, an eine zweite Religion zu glauben, die man gar nicht erst gewählt hat. Es ist sicherlich ein kontroverses Thema, aber es ist für die Krypto-Community von entscheidender Bedeutung, sich auf Fakten und nicht auf Interpretationen zu konzentrieren. Irgendwann werden unsere Worte hier (oder in den sozialen Medien) keine Rolle mehr spielen und die Leute werden mit ihren Dollars (ich meine ihre Kryptowährungen) abstimmen. Als Wettbewerber sind wir uns vielleicht nicht in jedem Detail einig, aber wir sind uns alle einig, dass Innovation, Sicherheit und Transparenz notwendig sind.
Ouriel Ohayon ist Mitbegründer und CEO von ZenGo, einer 2018 gegründeten MPC-Wallet für Verbraucher. Er ist ein ehemaliger leitender Angestellter bei ICQ/AOL; der Gründer von TechCrunch France (verkauft an AOL); und der Gründer rof Isai.fr, ein führender französischer VC. Er war General Manager des Gemini’s Internet Lab und Lightspeed Ventures.
Dieser Artikel dient allgemeinen Informationszwecken und ist nicht als Rechts- oder Anlageberatung gedacht und sollte auch nicht als solche verstanden werden. Die hier geäußerten Ansichten, Gedanken und Meinungen stammen ausschließlich vom Autor und spiegeln nicht unbedingt die Ansichten und Meinungen von Cointelegraph wider.