Nesta terça-feira (16), a Ledger anunciou sua nova solução para recuperação de fundos. Chamada de Ledger Recover, a funcionalidade consiste em exportar uma frase de recuperação encriptada para fora da carteira, que será dividida em três partes, cada uma mantida por uma instituição diferente. A comunidade de criptomoedas, no entanto, demonstrou preocupação quanto à forma como a funcionalidade será implementada.
Entendendo o Ledger Recover
As informações na página oficial da Ledger Recover apontam que a frase de recuperação que todo o usuário de carteiras da fabricante possui é duplicada, encriptada e dividida em três partes.
Uma das partes é mantida pela Ledger, a outra pela empresa de segurança Coincover e a parte restante é mantida pela empresa focada em garantias EscrowTech. Cada empresa, segundo informações prestadas pela fabricante das carteiras, está localizada em uma jurisdição diferente, dividindo-se entre Reino Unido, União Europeia e Estados Unidos.
Para ativar a funcionalidade, cujo efeito prático é exportar o acesso aos fundos para fora do dispositivo, é necessário atualizar o firmware do dispositivo e optar, expressamente, pelo uso do Ledger Recovery. Além disso, a funcionalidade depende da identificação do usuário através de documentação pessoal e uma selfie, bem como do pagamento de uma mensalidade de US$ 9,99.
De acordo com a Ledger, a nova funcionalidade foi pensada para usuários que querem “acrescentar uma camada de segurança para quando a frase de recuperação é perdida”. Isso faz com que o Ledger Recover seja um mecanismo para facilitar o uso de carteiras em hardware por parte de usuários menos experientes.
A possibilidade de exportar a frase de recuperação, no entanto, não agradou uma parcela significativa de usuários de carteiras da Ledger.
Recepção negativa
Usuários de carteiras fabricadas pela Ledger foram ao Twitter e ao Reddit demonstrar descontentamento com a decisão. A preocupação unânime dos usuários está relacionada ao envio da frase de recuperação para fora do dispositivo, o que vai contra o propósito de autocustódia. Ainda que o envio dependa do consentimento do usuário, clientes da Ledger desconfiam que a presença do mecanismo no firmware possibilitaria um ataque.
A primeira manifestação negativa no Twitter ocorreu na manhã desta terça-feira, manifestada pelo usuário Foobar, e já conta com quase 700 mil visualizações. Ele classificou a funcionalidade como uma abertura na segurança para ser explorada.
“Uma carteira em hardware deve conter uma área segura de onde as chaves privadas nunca devem sair, sob qualquer circunstância. Eles [a Ledger] abriram APIs para que essa área envie chaves encriptadas para terceiros na internet”, disse Foobar.
Banteg, como se identifica o líder do time de desenvolvimento da aplicação Yearn.finance, comentou sobre a opção da Ledger de permitir que a frase de recuperação deixe o dispositivo.
“Ledger diz: é impossível extrair a chave principal do dispositivo. A Ledger também diz: abrimos o firmware para permitir a extração da chave principal do dispositivo. Mas não se preocupem, nós garantiremos a segurança da sua carteira, bem como do seu endereço físico”, disse o desenvolvedor.
Mudit Gupta, Chefe de Segurança da Informação da Polygon, classificou a ideia como “horrenda”. Gupta argumentou que a verificação através de identidade não é um mecanismo de segurança a prova de falhas.
“Sabe o que mais é assegurado por verificação de identidade? Transferência de número de telefone. Você sabe quantos casos de invasão de números de pessoas importantes ocorrem diariamente? Muitos. Qualquer coisa assegurada por ‘verificação de identidade’ é inerentemente insegura. É muito fácil forjar”, avaliou Gupta.
O usuário Aylo, criador do coletivo Alpha Please, considerou o produto útil para alguns usuários. Ele salientou, porém, que a maior parte dos usuários de Ledger querem praticar autocustódia tendo a certeza de que suas chaves de recuperação não serão acessadas, nem enviadas para fora do dispositivo. “Isso deveria ser um produto separado, incluído em novos dispositivos”, comentou Aylo.
Posicionamento da Ledger
Dada a rápida repercussão negativa do Ledger Recover, a fabricante de carteiras organizou um Twitter Spaces na tarde de terça-feira com o intuito de esclarecer dúvidas de seus usuários.
A Ledger afirmou que, apesar da possibilidade criada para acessar a frase de recuperação de seus usuários, a ação nunca seria feita sem consentimento. Charles Guillemet, CTO da Ledger, disse que o usuário sempre será notificado quando a empresa interagir com alguma das suas chaves de segurança.
Além disso, Guillemet explicou que, ainda que as partes mantidas pelas instituições sejam obtidas por hackers, ainda seria necessária a confirmação do usuário através da sua identificação pessoal. O processo também deveria ser aprovado pelo usuário caso algum malware tentasse invadir a carteira usando a abertura criada no firmware, acrescentou o CTO da Legder ao responder a pergunta de uma das participantes.
Ian Rogers, Chefe de Experiências da Legder, contou durante a conferência que o Ledger Recover tem como objetivo melhorar a experiência do usuário. “Ledger Recover permite que as pessoas recuperem suas chaves privadas. Se você não está preocupado com a segurança de suas chaves privadas, então isso não é para você. É 100% opcional”, comentou Rogers.
Pascal Gauthier, CEO da Ledger, não se mostrou preocupado com as críticas. Ele afirmou que o Ledger Recover “supera os comentários negativos vistos no Twitter” quando a necessidade de investidores de criptomoedas que dependem dessa funcionalidade é colocada em perspectiva. Gauthier acrescentou que testes foram feitos com usuários, que afirmaram que um produto como o Ledger Recover é necessário para o mercado.
“Tudo bem se você não gosta. Essa é a beleza da autocustódia: você está no comando das suas chaves privadas. Você pode usar qualquer serviço que você quiser e, se você acha que a Ledger está indo na direção errada, existem outros serviços no setor [...] Acredito que estamos fazendo a coisa certa, e não tenho problemas se você discorda, tudo bem em discordar, e podemos concordar em discordar. E você, definitivamente, pode usar outros serviços, pois essa é a beleza da autocustódia”, disse o CEO da Ledger.
Dúvidas persistem
Mesmo após as garantias sobre segurança dadas por executivos da Ledger durante o Twitter Spaces, a comunidade de criptomoedas segue insatisfeita. O primeiro motivo é a incapacidade de auditar o que foi dito pelos porta-vozes da fabricante, já que seu código é fechado. Desta forma, os usuários precisam acreditar que as afirmações da Ledger são verdadeiras.
Jefferson Rondolfo, fundador da KriptoBR, revenda autorizada de dispositivos Ledger no Brasil, afirma que o fato do firmware ser fechado ao público torna difícil responder como funciona o acesso da Ledger e outras entidades às chaves privadas dos usuários.
“Como as seeds ficam guardadas dentro de um processador conhecido como SE, ou Secure Element, é sabido que invadir um SE é custoso, portanto, fora de questão. Mas, por outro lado, estamos falando de um software remoto que, se vazado, poderia expor os usuários”, conta Rondolfo.
Além disso, a Ledger já passou por problemas quando informações de sua base de dados tiveram relação com terceiros. Em julho de 2020, conforme noticiado pelo Cointelegraph, um comerciante de carteiras da fabricante permitiu o vazamento de dados de 270 mil clientes. Ainda que a fabricante não tenha culpa nesse caso, este é mais um fator que preocupa os usuários.
O Cointelegraph Brasil tentou contato com o representante da Ledger no Brasil, mas não obteve resposta até o momento da publicação desta matéria.
Leia mais: