- >News
- >Ist Ledger noch sicher? Neues Recovery-Tool sorgt für Kontroverse
Ist Ledger noch sicher? Neues Recovery-Tool sorgt für Kontroverse
Kryptowährungen haben seit langem ein Problem mit ihrem unnachgiebigen Umgang in Sachen Sicherheit. Ja, nur du kannst auf deine Bitcoins zugreifen und sie transferieren, sofern nur du den privaten Schlüssel zu deinem Bitcoin-Wallet besitzt. Aber der Nachteil dieser Versicherung ist, dass du im Falle des Verlustes deiner Schlüssel auch deine BTC verlierst. Und ein solches Missgeschick ist in der kurzen Geschichte der Kryptowährung nicht wenigen Menschen widerfahren. Es gibt keinen Mangel an Geschichten von Personen, die vergeblich versuchten, ihr verlorenes Vermögen zurückzuerhalten.
Ledger hat sich kürzlich zum Ziel gesetzt, diesen Personen zu helfen, als es Ledger Recover ankündigte, einen Service, der es Besitzern der Hardware-Wallet Ledger Nano X ermöglicht, die Seed-Phrase abzurufen, die die Wiederherstellung der Wallet ermöglicht. Im Prinzip schien der Dienst zeitgemäß und benutzerfreundlich zu sein, da er sicherstellte, dass Wallet-Besitzer ihre Kryptowährung nie verlieren würden, selbst wenn sie die physisch (oder digital) gespeicherte Seed-Phrase verloren hätten.
Ein Großteil der Krypto-Community reagierte jedoch schnell mit einer Mischung aus Entsetzen und Empörung auf die Ankündigung von Ledger und beschuldigte den Wallet-Hersteller, seine Geräte versehentlich mit einer möglichen Hintertür versehen zu haben. Aber obwohl Ledger bisher nicht in der Lage war, solche Bedenken zu zerstreuen, kann zugunsten des Unternehmens argumentiert werden, dass ein Tool wie Recover notwendig ist, wenn die Branche eine größere Akzeptanz von Kryptowährungen und eine stärkere Selbstverwahrung fördern will, der im Zusammenhang mit Börsenhacks und Konkursen eine immer größere Bedeutung zukommt.
Ledger Recover wird trotz Opt-In-Funktionen kritisiert
Auf den ersten Blick ist Ledger Recover einfach zu verstehen. Im Grunde teilt der Dienst die Seed-Phrase einer Wallet in drei verschlüsselte Stücke auf, die bei drei verschiedenen Anbietern (Ledger, Coincover und EscrowTech) gespeichert werden. So kann der Besitzer im Falle des Verlusts der Phrase wieder auf die Seed-Phrase zugreifen.
Die Seed-Phrase einer Kryptowährungs-Wallet ist ein Satz, der aus 12 oder 24 zufällig generierten Wörtern besteht und von einem Wallet-Besitzer verwendet werden kann, um seine privaten Schlüssel abzurufen, die nötig sind, um Geld aus der Wallet zu transferieren. Mit anderen Worten: Wenn Sie die privaten Schlüssel verlieren, können Sie die Seed-Phrase verwenden, um sie wiederzuerlangen. Mit Recover wollte Ledger eine weitere Verteidigungslinie einführen, die es ermöglicht, die für die Wiederherstellung der Schlüssel benötigten Daten wiederherzustellen.
Wie Ledger auf seiner Website erklärt, musst du deine Identität anhand deines Personalausweises verifizieren, um dich für Recover anzumelden. Dabei werden Maßnahmen zur Überprüfung der Kundenidentität getroffen, um sicherzustellen, dass wirklich du und nicht ein Betrüger den Dienst nutzt. Diese Verwendung von KYC ermöglicht es Wallet-Besitzern auch, die verschlüsselten Fragmente ihrer Seed-Recovery-Phrase abzurufen, wobei die Fragmente für sich genommen nutzlos sind.
Quelle: Twitter
Darüber hinaus versichert Ledger, dass Recover ein Opt-In-Dienst ist, d. h., du musst ihn nicht abonnieren, wenn du das nicht willst. Diese Funktionen konnten jedoch die zahlreichen kritischen Stimmen nicht verhindern, die vor allem befürchteten, dass der Dienst als Angriffsvektor für Hacker genutzt werden könnte.
So schrieb beispielsweise der Kryptowährungsinvestor Ryan Berckmans auf Twitter: „Die Ledger-Firmware v2.2.1 installiert Ledger Recover, einen fahrlässigen Dienst, der die privaten Schlüssel einer Hardware-Wallet extrahiert und über das Internet versendet.“ Dies war nicht die einzige Antwort auf die Ankündigung von Ledger, in der das französische Unternehmen kritisiert wurde. Die Web3-Beraterin Vanessa Harris meinte, dass der Dienst geradezu darauf wartet, ausgenutzt zu werden.
Im Mittelpunkt dieser Kritik steht die Tatsache, dass Ledger-Geräte mit der Einführung von Ledger Recover über eine Firmware verfügen werden, die es ermöglicht, die privaten Schlüssel einer Wallet über das Internet zu versenden. Ja, Ledger hat zu seiner Verteidigung wiederholt bekräftigt, dass die Nutzer sich für den Dienst anmelden müssen, um ihn tatsächlich nutzen zu können, und dass die privaten Schlüssel ohne Identitätsnachweis nicht wieder zusammengesetzt werden können. Dennoch besteht die Befürchtung, dass findige Hacker einen Weg finden könnten, diese im Code der Geräte enthaltene Kernfunktion auszunutzen.
Trezor meldet Umsatzsprung, Ledger verzögert Einführung
Im Zuge dieser Befürchtungen meldete Trezor einen Anstieg des Verkaufs seiner Geräte um 900 %, ohne diesen Wert oder die zugrunde liegenden Daten wirklich aufzuschlüsseln. Angesichts der Tatsache, dass einige so weit gegangen sind, zu behaupten, dass Ledger ihren Ruf so gut wie vernichtet hat, ist es durchaus plausibel, dass Trezor eine gewisse Umsatzsteigerung verzeichnen konnte. Und das, obwohl das Sicherheitsunternehmen Unciphered kurz nach der Ledger-Kontroverse bekannt gab, dass es in der Lage war, die Hardware-Wallet Trezor T physisch zu hacken und dass der Fehler auf Chipebene nicht behebbar ist.
Angesichts dieser Krise ist es nicht überraschend, dass Ledger auf die Sorgen der Gemeinschaft eingegangen ist. Unmittelbar danach kündigte das Unternehmen in einem Blog-Beitrag an, dass es die Einführung von Recover verzögern und dessen Code als Open Source zur Verfügung stellen wird, damit Entwickler und Community-Mitglieder diesen Code selbst überprüfen können (und sich möglicherweise davon überzeugen können, dass er sicher ist).
Darüber hinaus hat das Unternehmen einen FAQ-Bereich zu Ledger Recover eingerichtet, in dem verschiedene Fragen und Anliegen aus der Community direkt behandelt werden. Dazu gehört auch die Bestätigung, dass der Zugriff auf den privaten Schlüssel Ihres Geräts nur nach manueller Freigabe und Bestätigung auf dem Gerät möglich ist. Außerdem wird darauf hingewiesen, dass es keinen Sicherheitsvorteil bringt, zwei getrennte Betriebssysteme zu verwenden (wie von einigen Kommentatoren vorgeschlagen), von denen eines über die Recover-Funktion verfügt und das andere nicht.
Der CEO von Ledger, Pascal Gauthier, hat jedoch die theoretische Möglichkeit eingeräumt, dass eine durch den Recover-Dienst unterstützte Seed-Phrase durch eine staatliche Anordnung zugänglich gemacht werden könnte, wodurch die drei unabhängigen Anbieter des Dienstes gezwungen wären, die Fragmente der Phrase auszuhändigen. Dieses Eingeständnis unterstreicht die bittere Wahrheit, dass jede Sicherheitslösung ihre eigenen Probleme mit sich bringt, und Recover ist da keine Ausnahme. Doch trotz seiner möglichen Schwächen haben einige in der Community bekräftigt, dass der Dienst für diejenigen notwendig sein kann, die nicht über das technische Know-how verfügen, um ihre Seed-Recovery-Phrasen selbst sicher aufzubewahren.
In der Tat kann Recover dafür gelobt werden, dass es einen wichtigen Schritt getan hat, um die Selbstverwahrung für viel mehr Menschen zugänglich zu machen, wenn man bedenkt, wie unbarmherzig Kryptowährungen sein können, wenn man seine privaten Schlüssel verliert. Nach Schätzungen von glassnodes sind etwa drei Millionen BTC im Wert von 83,46 Mrd. USD für immer verloren gegangen, was die potenziellen Kosten des extrem strengen Sicherheitssystems von Bitcoin verdeutlicht. Zumindest zeigt dies, dass etwas wie Recover definitiv benötigt wird, wenn mehr private und institutionelle Anleger in Kryptowährungen investieren wollen, und auch wenn Ledger die Einzelheiten vielleicht nicht ganz richtig verstanden hat, hat es mit seinem neuen Dienst einen Schritt in die richtige Richtung gemacht.
