Ledger, società che produce dispositivi hardware per l’auto-custodia di criptovalute, ha annunciato pochi giorni fa l’introduzione di un nuovo servizio che ha fatto imbestialire la community di Twitter.
Tramite la nuova funzionalità “Recover”, gli utenti possono infatti fare il backup della propria seed-phrase e recuperarla in caso di smarrimento, aiutando l’operatività degli utenti più neofiti ma minacciando contemporaneamente la sicurezza dei dispositivi e la privacy degli utenti.
Cerchiamo di approfondire meglio la questione e capire se “Recover” è un bene o un male per la community
Summary
Il nuovo servizio “Recover” di Ledger
Le tecniche di self-custody per criptovalute hanno sempre suscitato un pò di timore nei confronti di chi si è affacciato da poco a questo affascinante e allo stesso tempo pericoloso mondo.
Conservare in prima persona le chiavi private del wallet in cui si detengono le proprie criptovalute è diventato un must, soprattutto dopo il susseguirsi di scandali di exchange centralizzati e servizi di terze parti che negli anni hanno dichiarato bancarotta (o peggio truffato gli investitori) lasciando i clienti con un cerino in mano.
Tuttavia custodire in autonomia una frase da 24 parole che consente a chi ne è in possesso di accedere e di spendere il proprio denaro virtuale, non è una cosa praticabile da tutti, soprattutto per i più smemorati o per chi non ha praticità con le nuove tecnologie.
È per questo che Ledger, una società francese di produzione hardware wallet crypto, ha deciso di lanciare proprio in questi giorni un nuovo servizio chiamato “Recover” dedicato a chiunque necessiti di recuperare le proprie chiavi private dopo averle smarrite o dopo aver perso o distrutto il dispositivo fisico.
Nel dettaglio Ledger Recover consente di ripristinare la seed phrase tramite un backup in cloud che frammenta la frase segreta in più parti e invia le componenti criptate a 3 server distinti tramite lo Shamir Shared Secret, ovvero un algoritmo di condivisione segreta per informazioni private.
I 3 server in questione appartengono a Ledger, Coincover e EscrowTech, società che memorizzano i backup crittografati degli utenti in caso di richiesta e restituiscono successivamente la seed phrase in modo “spezzettato” al proprietario originale.
In questo modo nessuno dei 3 intermediari è da sé potenzialmente in grado di ricostruire le chiavi di accesso al wallet diminuendo così il rischio di controparte.
L’utente finale per poter accedere al servizio deve prima verificare la propria identità tramite una procedura simile alle KYC ed inviare i propri dati a Onfido e Tessi, due provider di Ledger impiegati per questa delicata attività.
La funzione Recover è disponibile solo per la versione Nano X di Ledger, e non per quella Nano S, è da praticabile previa lo svolgimento di un aggiornamento opt-in.
I possessori di dispositivi Nano X non sono obbligati a fare l’aggiornamento e possono continuare a custodire in prima persona il proprio seed senza l’ausilio di alcun intermediario.
I dubbi della community sulla sicurezza dei dispositivi hardware di Ledger
Sebbene la funzione Recover rappresenta indubbiamente un aiuto per tutti quei soggetti che hanno fallito nel custodire la propria seed-phrase e se la sono persa per strada, d’altro canto risulta molto pericolosa in termini di sicurezza, secondo quanto detto dalla community di Twitter.
Sul social media infatti, molti utenti hanno espresso la propria disapprovazione nei confronti di un servizio che va contro gli ideali del self-custody e potrebbe minare la privacy e la sicurezza dei dispositivi Ledger.
Specialmente molti individui temono che ci sia una backdoor nel firmware ( un software installato nei chip dei dispositivi Ledger) che permette alla casa madre, e dunque potenzialmente anche a terzi, di accedere ai wallet dei clienti in qualsiasi momento
A tal proposito Pavol Rusnak, co-fondatore di SatoshiLabs, che produce un portafoglio hardware concorrente (Trezor) ha affermato che:
“Il fatto che un portafoglio hardware trasmetta il seme o le condivisioni in grado di ricostruire il seme su Internet altera sostanzialmente il modello di minaccia alla sicurezza di un portafoglio hardware“
La questione si è fatta più delicata quando il profilo ufficiale Twitter del support di Ledger ha ammesso che l’installazione di un firmware potrebbe facilitare l’estrazione delle chiavi private degli utenti, in contraddizione con un tweet pubblicato a Novembre dello scorso anno dove si diceva che dal Secure Element ( chip integrato negli hardware wallet) non fosse possibile in alcun modo estrapolare dati relativi al seed.
Il recente tweet è stato eliminato da Ledger poichè a detta del suo CTO, Charles Guillement, la comunicazione rischiava di essere fraintesa e di produrre confusione tra la community, ma è stata prontamente screenshottata da qualche utente, come ad esempio da Olimpio Crypto.
Riassumendo il dibattito che è scaturito successivamente tra il CTO di Ledger e la community, è emerso che il problema di fondo è che Ledger POTENZIALMENTE potrebbe maneggiare un firmware malevolo, ma tutti gli utenti che si sono fidati fino ad oggi non dovrebbero avere paura solo ora per una “problematica” già esistente.
La società francese di dispositivi wallet ha rimarcato la sua profonda professionalità nei suoi intenti, ricordando che è suo interesse proteggere i propri clienti.
Il problema della fiducia tuttavia rimane, essendo stata evidenziata questa lacuna nella gestione dei firmware ed essendo stata amplificata da una gestione di comunicazione disastrosa della società.
Ricordiamo che per avere una soluzione di self-custody crypto totalmente trustless, ovvero senza componenti di fiducia di alcun tipo, sarebbe necessario creare il proprio dispositivo ed il proprio software in modo che solo il proprietario possa mettere mano sul codice.
Un problema sicuramente più marcato è il fatto che chiunque utilizzi Ledger Recover da in mano ai provider Onfido e Tessi la propria identità e che quest’ultima, in caso di hack o fuga di dati, potrebbe finire nelle mani sbagliate.
Anche le forze dell’ordine potrebbero in tal senso entrare in possesso dell’identità di chi usufruisce del servizio Recover ed accedere ai fondi degli stessi tramite subpoena.nei confronti di Ledger.
Violazione dei principi dell’auto-custodia o sostegno nei confronti degli utenti neofiti?
L’introduzione della funzione Recover di Ledger ha attivato un dibattito molto interessante su cosa sia necessario e cosa risulti pericoloso per gli utenti.
Secondo la società francese, permettere di recuperare la propria chiave privata, un pò come accade nel recupero credenziali delle principali piattaforme del web 2.0, aiuterebbe molti individui a salire sul carro delle criptovalute abbracciando l’innovazione.
D’altro canto, tutto ciò rappresenta un rischio per chi decide di sfruttare questa soluzione, fermo restando che rimane la possibilità di “fare da sé” evitando la collaborazione di intermediari esterni.
Infatti, per attivare il firmware che creerebbe questo “point of failure” è comunque necessaria l’approvazione dell’utente in sede finale, che può comunque rifiutarla e viaggiare con il vecchio software.
A tal proposito in un tweet del supporto di Ledger, ormai cancellato per via dello shitstorm che è stato causato, si diceva che:
“Ogni aggiornamento del firmware richiede l’approvazione del dispositivo di sblocco tramite PIN, questa è l’ultima riga che ci rende impossibile estrarre le tue chiavi anche se avessimo il tuo dispositivo“
Pur rimanendo che Ledger ha fatto una brutta figura nella gestione del momento di crisi reputazione, risulta abbastanza chiaro ad ora che gli aggiornamenti firmware non rappresentano un serio problema per gli utenti, a patto che si siano fidati della società fino ad oggi.
Il vero problema si colloca nel fatto che chi sceglie di utilizzare Recover, oltre a scegliere di dare ulteriore fiducia a Ledger per l’installazione di un aggiornamento, deve obbligatoriamente rivelare la propria identità a due provider distinti che potrebbero, in buona o cattiva fede, perdere o cedere questi dati ad altre società o agenzie governative.
La componente della privacy, che risulta centrale nelle narrative dei sostenitori del self-custodial, è di fatto azzerata da questo tipo di funzionalità.
A questo punto la vera domanda da porsi non è se sia il caso di adoperare Ledger Recover (ovviamente NO) visto che indiscutibilmente è meglio essere più diligenti nella custodia della seed phrase e risparmiarsi un rischio di controparte, ma se piuttosto convenga o meno utilizzare wallet centralizzati con interfacce utente decisamente più user friendly visto che il servizio è dedicato a chi è entrato da poco nel settore delle criptovalute.
Perché custodire i propri fondi su un dispositivo hardware che consente la mera custodia, quando ci sono provider come Binance e Coinbase che aggiungono vantaggi come la presenza di diversi mercati interni dove fare trading di criptovalute?
D’altronde se non si è in grado di eseguire un compito semplice, ma delicato, ovvero custodire in sicurezza una frase di 24 parole che dà accesso ai propri fondi (cosa di per sé legittima per i neofiti) perchè non scegliere di usufruire di maggiori comodità?
La cosa migliore da fare sarebbe fare esperienza su piattaforme centralizzate che fanno tutto il “lavoro sporco” per te, e mano a mano che si acquisiscono conoscenze e competenze spostarsi su wallet non custodial, (di cui ci si fida dei costruttori) e provvedere in autonomia alla messa in sicurezza della chiavi di accesso degli asset che vi sono all’interno.
Ricordate sempre: not your keys, not your coins!
