Em 18 de maio, o provedor de carteiras de hardware de criptomoedas Ledger esclareceu como seu firmware funciona após um polêmico tweet de 17 de maio ser deletado pela empresa. O tweet excluído, que a Ledger afirmou ter sido escrito por um agente de atendimento ao cliente, havia declarado que era "possível" para a Ledger escrever um firmware que poderia extrair as chaves privadas dos usuários.
[1/3] Você deve ter visto um tweet da nossa conta de Suporte da Ledger sendo compartilhado sobre atualizações de firmware da Ledger.
Infelizmente, na nossa tentativa de esclarecer como a Ledger e todas as carteiras trabalham com o firmware, um agente de suporte ao cliente postou um tweet com uma redação confusa. https://t.co/cL6UrBzxWr
— Ledger Support (@Ledger_Support) 18 de maio de 2023
O diretor de tecnologia da Ledger, Charles Guillemet, esclareceu em um novo tópico no Twitter que o sistema operacional (SO) da carteira requer o consentimento do usuário sempre que "uma chave privada é tocada pelo SO". Em outras palavras, o SO não deve ser capaz de copiar a chave privada do dispositivo sem o consentimento do usuário - embora Guillemet também tenha dito que usar uma Ledger requer "uma quantidade mínima de confiança".
O tweet original do atendimento ao cliente da Ledger afirmou: "Tecnicamente falando, é e sempre foi possível escrever um firmware que facilita a extração de chaves. Você sempre confiou na Ledger para não implementar tal firmware, quer você soubesse disso ou não."
O tweet causou uma grande controvérsia no Twitter, pois muitos usuários acusaram a empresa de deturpar a segurança de sua carteira. Críticos compartilharam uma suposta postagem da Ledger de novembro que afirmava: "Uma atualização de firmware não pode extrair as chaves privadas do Secure Element", insinuando que a empresa se contradisse.
Embora o tweet excluído tenha alimentado a controvérsia, a questão começou em 16 de maio, quando a empresa apresentou um novo serviço "Ledger Recover" que permite aos usuários fazer backup de sua frase secreta de recuperação, dividindo-a em três partes e enviando-as para diferentes serviços de custódia de dados. O tweet excluído foi em resposta ao lançamento do novo recurso.
Nov 2022: Uma atualização de firmware não pode extrair as chaves privadas do Secure Element — Ledger
Mai 2023: Tecnicamente falando, é e sempre foi possível escrever um firmware que facilita a extração de chaves — Ledger@Ledger, você agora entende o problema? pic.twitter.com/czG53SuCOu
— olimpio (@OlimpioCrypto) 17 de maio de 2023
O novo tópico no Twitter de Guillemet afirma que o firmware da carteira, ou SO, é "uma plataforma aberta" no sentido de que "qualquer um pode escrever seu próprio aplicativo e carregá-lo no dispositivo". Antes de serem permitidos no software Ledger Manager, os aplicativos são primeiro avaliados pela equipe para garantir que não sejam maliciosos e não apresentem falhas de segurança.
Segundo a Ledger, mesmo após um aplicativo ser aprovado, o SO não permite que ele use a chave privada para uma rede para a qual não foi feito. A empresa citou o exemplo de aplicativos Bitcoin não sendo autorizados a usar as chaves privadas Ethereum do dispositivo e vice-versa para aplicativos Ethereum e chaves Bitcoin. Além disso, toda vez que uma chave privada é usada por um aplicativo, a Ledger diz que o SO exige que os usuários confirmem seu consentimento para usar a chave. Isso parece implicar que aplicativos de terceiros instalados na Ledger não deveriam ser capazes de usar a chave privada de uma pessoa sem o usuário primeiro consentir em seu uso.
Guillemet também confirmou que este sistema faz parte do SO atual, que teoricamente poderia ser alterado se a Ledger se tornasse desonesta ou se um atacante de alguma forma ganhasse controle dos computadores da empresa:
"Se a carteira quiser implementar uma porta dos fundos, há muitas maneiras de fazer isso, na geração de números aleatórios, na biblioteca criptográfica, no próprio hardware. É até possível criar assinaturas de forma que a chave privada possa ser recuperada apenas monitorando a blockchain."
No entanto, o diretor de tecnologia da Ledger descartou essa preocupação, afirmando: "Usar uma carteira requer uma quantidade mínima de confiança. Se sua hipótese é que seu provedor de carteira é o atacante, você está condenado." Ele continuou dizendo que a única maneira dos usuários se protegerem contra um desenvolvedor de carteira desonesto é construir seu próprio computador, compilador, pilha de carteira, nó e sincronizador, o que o executivo disse ser "uma jornada de uma vida".
O provedor concorrente de carteiras de hardware, GridPlus, ofereceu-se para abrir o código-fonte de seu firmware numa tentativa de atrair usuários da Ledger. Por outro lado, Guillemet afirmou que abrir o código-fonte do firmware não protegeria contra um provedor de carteira desonesto, já que o usuário não teria como saber se o código publicado estava realmente sendo executado no dispositivo.
VEJA MAIS: