O Ledger Recover, um novo serviço anunciado pela Ledger, gerou uma enorme repercussão no mundo cripto nas últimas semanas.
E o impacto deste serviço nos clientes, talvez seja um divisor de águas para uma das mais bem sucedidas empresas no espaço de custódia cripto.
Leia mais: 4 criptomoedas que podem atingir novas máximas em abril
Eis o tema do nosso artigo de hoje: impactos e riscos do Ledger Recover.
Se você não possui muita familiaridade com o assunto “custódia cripto”, aconselho a leitura prévia desse artigo.
Agora que estamos todos na mesma página, vamos entender um pouco do contexto.
Onde está o maior aspecto de segurança na custódia de seus criptoativos?
O maior aspecto de segurança de seus fundos em criptomoedas está ligado à “frase-semente” de sua carteira digital.
A frase-semente é uma frase de 12, 18 ou 24 palavras, também chamada de frase de recuperação ou simplesmente “SEED”.
Essas frases-semente (SEEDs) permitem que os usuários recuperem suas chaves privadas do blockchain. Elas são as chaves privadas apresentadas em um formato legível por humanos.
Sua SEED é o único backup de suas chaves privadas, o que pode lhe dar acesso aos seus tokens e criptomoedas. Se você perder sua carteira de hardware ou esquecer seu PIN, poderá usar sua SEED para recuperar o acesso às suas chaves privadas e aos seus criptoativos.
Qual a relação da SEED com o Ledger Recover?
O novo serviço chamado “Ledger Recover” permite que você compartilhe essencialmente três fragmentos de sua “SEED”.
Basicamente, com o Ledger Recover, antes que a frase-semente de sua carteira cripto seja de fato produzida por meio de seu dispositivo, esses três fragmentos são então enviados a três provedores, e a Ledger é um deles.
Assim, se no futuro, você perder sua SEED, perder o acesso à sua frase de recuperação ou acontecer alguma coisa, você poderá se “identificar” e fazer com que esses provedores recuperem sua SEED reunindo dois desses três fragmentos de forma eficaz.
Dessa forma, sua SEED é dividida em três partes e quaisquer duas dessas partes são suficientes para reconstruir sua SEED.
Por que o Ledger Recover causou tanta preocupação na comunidade cripto?
Um grande problema é que a Ledger anunciou este serviço sem muito alarde e os anúncios iniciais não continham muitos detalhes. E essa falta de clareza inicial da Ledger acabou gerando pânico em clientes e provocando duras reações da comunidade cripto.
Após as críticas, a Ledger publicou um artigo muito mais detalhado respondendo às principais perguntas, mas isto não foi suficiente para tranquilizar clientes e acalmar a comunidade.
Inúmeros usuários começaram a buscar outro fabricante de hardware, e uma enxurrada de posts e tuites se espalhou nas redes sociais.
Após as críticas, a empresa se comprometeu a abrir o código-fonte do Ledger Recover antes de lançar a polêmica atualização. Diferentemente de alguns concorrentes, a Ledger não publica todo o seu código, mas, em vez disso, tem seu produto testado por uma equipe de pesquisadores de segurança selecionados.
Ele também, agendou uma sessão do Twitter Spaces para discutir a questão.
Mas o que certamente ajudou a viralizar a repercussão foi a percepção das pessoas de que não existe um dispositivo de hardware perfeito no mercado. Não que existisse antes, mas muitos não tinham consciência disto.
E como não existe um dispositivo perfeito, a maneira de contornar esses pontos fracos é evitar que essas brechas causem uma perda catastrófica para você.
As causas mais prováveis de alguém perder criptoativos
Se você é um usuário sofisticado o suficiente para comprar e armazenar suas chaves em um dispositivo de hardware dedicado unicamente à autocustódia, você sabe que provavelmente já está entre os 1% melhores em termos de modelo de segurança de autocustódia.
E com certeza você sabe por que a Ledger criou o Ledger Recover.
Qualquer um que acompanha o espaço de custódia já há alguns anos sabe que a maneira mais provável de alguém fazer besteira e perder criptoativos, é manter suas chaves em um dispositivo conectado à Internet (hotwallets) ou, no caso das coldwallets, é não ter uma boa solução de backup.
E para a maioria dos usuários, a falta de uma boa solução de backup em hardwallets está entre as causas mais prováveis de perda cripto.
A maneira mais comum de alguém perder suas criptos é o extravio ou a falta de proteção suficiente de sua SEED.
Estima-se que até US$ 545 milhões em Bitcoin (BTC) foram perdidos em 2022 devido à perda de senhas ou a erros com a frase de recuperação, o que demonstra uma necessidade real de resolver o problema.
A segunda maneira mais provável de alguém perder criptos é sofrer ataques de phishing, em que você é basicamente submetido a uma engenharia social para fornecer suas SEEDs a alguém, sendo informado de que precisa digitá-las em um site ou fornecê-las a um serviço porque sua conta foi congelada.
E esses ataques de engenharia social são frequentes, e até mesmo usuários com anos de experiência já caíram nessa.
De outro lado, o “roubo” de SEEDs ou hackeamento de sistemas estão dentre as últimas causas de perda cripto. A menos que você tenha circunstâncias únicas que o tornem uma figura pública super visada, dificilmente alguém tentará “roubar” seus bitcoins.
Cibercriminosos preferem os alvos fáceis, e é por isto que é muito mais provável que você mesmo perca sua SEED ou não as proteja adequadamente (molhando o papel onde as anotou, por exemplo).
Esta é a motivação da Ledger para criar um serviço de recuperação, e é por isto que ela criou um serviço de recuperação (Ledger Recover).
Mas antes de entrarmos nos detalhes se você deve pular fora do Ledger Recover, ou não , é preciso deixar bem claro que uma carteira de hardware é a melhor e mais segura solução para a grande maioria dos usuários.
Soluções faça você mesmo Vs. Ledger
Usar carteiras de papel obsoletas, aderir a algum esquema de criptografia “não comprovado” implantado num pendrive, uma instalação personalizada do Linux, etc, NÃO é melhor que uma carteira de hardware.
Todas as soluções “faça você mesmo” são muito mais arriscadas do que simplesmente comprar e usar uma carteira de hardware corretamente. E o maior risco com todas essas soluções não é o de ter suas chaves roubadas, mas o de tornar as coisas tão complicadas que, sem perceber, você irá além de sua própria capacidade técnica e perderá o acesso às suas próprias chaves por acidente.
Quando você muda o modelo de risco para proteger a confidencialidade da SEED, sempre acaba degradando sua disponibilidade, ou seja, sua capacidade de recuperação.
E você não percebe isso até perder a mão.
Olhando para as grandes fabricantes de hardware, a Ledger está entre as maiores, com muito dinheiro, e certamente conta com muitos engenheiros, e uma das equipes de segurança mais respeitadas do mercado.
E investiu uma tonelada de recursos para garantir que seus produtos sejam bastante seguros.
Então, entre uma solução “faça você mesmo” e a Ledger, talvez uma solução caseira não seja a melhor alternativa.
Contudo, como o objetivo aqui é trazer um contexto claro e isento e fornecer ferramentas para que você tome sua decisão, vamos falar sobre serviços de recuperação com um pouco mais de detalhes.
Como funciona um serviço de recuperação? A ‘força está nos números’
Podemos resumir os pontos de atenção de um serviço de recuperação no seguinte:
- Como esse serviço foi criado?
- Como foi implementado?
- Quais são os detalhes de como ele é implementado em um modelo de risco?
Com base nestes três parâmetros, vamos entender o novo serviço oferecido pela Ledger.
— Vires in numeris
“Vires in Numeris” é um termo latino que significa força nos números. No mundo cripto, esta expressão é popularmente usada como o lema do Bitcoin, e significa a força dos cálculos numéricos usados para criar a primeira criptomoeda.
Mas em criptografia e segurança de redes, podemos traduzir “vires in numeris” em algo como “quanto mais números melhor”.
Em primeiro lugar, quando a Ledger divide o seu SEED, ela o faz usando um algoritmo padrão do setor chamado Shamir’s secret sharing scheme.
Esse é um dos poucos algoritmos criptográficos matematicamente seguros desenvolvidos no início dos anos 70.
Estamos falando aqui, portanto, de um conceito muito antigo que permite que você pegue qualquer número e o divida em “X’ fragmentos independentes, sendo que você precisa de Y desses fragmentos para recuperá-lo.
Digamos que você pegue um número e o divida em três fragmentos, e você precise de dois fragmentos para recuperar esse número. Você pode calibrar os “Shamir ‘s” para ter 10 fragmentos de 524, 26 fragmentos de 1024 ou qualquer combinação.
No caso específico do serviço Recover, a Ledger está fazendo um esquema Shamir dois de três.
Basicamente, o que a prova matemática do esquema de compartilhamento Shamir permite saber é que ter apenas um dos três fragmentos é matematicamente equivalente a não ter nenhum fragmento. Assista este vídeo para compreender melhor.
Isto porque, você não pode fazer nada apenas com um dos fragmentos finais. Se você tiver essencialmente qualquer número menor que o quórum necessário para recuperar sua SEED, se você não tiver o número mínimo exigido que, no caso do Ledger Recover, é dois, você não terá nada.
No entanto, não há garantia do que é transmitido pelo seu dispositivo Ledger – se é apenas o fragmento, ou outros dados.
Portanto, quando você se inscreve nesse serviço, esses fragmentos “teriam” que ser anexados de alguma forma a você para que eles possam identificá-lo em caso de recuperação. Tem de existir algum identificador.
Como é importante que não seja necessário o dispositivo original – que gerou sua SEED – para uma recuperação, não há chave criptográfica secreta ou outro identificador vinculado ao seu dispositivo.
E isto significa que você pode perder o dispositivo original que a Ledger conseguem recuperá-lo em um novo dispositivo, usando apenas os fragmentos e a sua identidade, comprovada através de um passaporte e uma interação de vídeo ao vivo – não vamos entrar em detalhes aqui sobre deep fake.
Em resumo, o que é possível saber até agora é que esse novo serviço da Ledger permite que você divida sua SEED em três componentes. Todos os três componentes são enviados do seu dispositivo pela Internet para três provedores diferentes. Esses três provedores foram identificados como:
- a própria Ledger,
- uma empresa no Reino Unido chamada Coin Cover
- uma empresa nos EUA chamada Escrow Tech
Cada uma dessas empresas terá apenas um de seus fragmentos. Em suas postagens mais recentes, a Ledger diz que criou uma chave de criptografia efêmera para transmiti-los.
Mas é provável que o que eles estão fazendo é usar as chaves públicas do Ledger Coin Cover e do Escrow Tech no firmware do dispositivo e a chave de criptografia efêmera é criada usando o protocolo de troca de chaves Diffie-Hellman, que provavelmente seria a maneira mais padrão de fazer isso novamente.
Prós e contras do Ledger Recover
— Os prós do serviço de recuperação da Ledger Recover
Todos estes são mecanismos de criptografia robustos, baseados em algorítmos criptográficos abertos e bem conhecidos.
Mas, de imediato, é possível identificar três problemas com a forma como isso foi implementado.
— Os contras do serviço Ledger Recover
1) O Ledger Recover será disponibilizado através do firmware a quase todos os dispositivos ledger, independente de você se inscreve ou não no serviço
O serviço será implementado na Ledger Nano “X” e todos os dispositivos acima da Ledger Nano “S”.
Afinal, a Nano “S” não tem memória suficiente para realizar tal serviço.
Logo, isso será disponibilizado a todos os novos dispositivos Ledger, através do firmware, independentemente de você se inscrever ou não nesse serviço.
Portanto, a capacidade de exportar sua chave privada será incorporada ao firmware de sua Ledger Nano X (ou modelo superior), da próxima vez que você atualizar seu firmware – quer você opte ou não por usar tal serviço.
Esse é o problema número um.
2) O serviço de recuperação exige requisitos de KYC e um identificador para conectar sua SEED à sua identidade
O segundo problema do serviço Ledger Recover se dá devido aos requisitos KYC para recuperação, e ao fato de que seu dispositivo original não é necessário para fazer uma recuperação. Ora, tal significa que um identificador que conecta os fragmentos da sua SEED à sua identidade deve estar disponível para um terceiro.
3) As três empresas que receberão os fragmentos de sua SEED estão em jurisdições diferentes, sujeitas a legislações locais e a organismos internacionais como GAFI.
Essas três empresas estão localizadas em três diferentes (EUA, Reino Unido e França) e, portanto, estamos falando de três jurisdições diferentes, sujeitas legislações nacionais e internacionais.
Neste contexto, tais empresas podem ser coagidas a fornecer um dos fragmentos para os órgãos de aplicação da lei, em virtude de um processo legal que você não controla.
Desta forma, qualquer agência de aplicação da lei pode conseguir obrigar que duas dessas empresas fornecessem os dois fragmentos necessários para reconstruir sua SEED e assim, apreender seus criptoativos, ou congelar seus fundos cripto, ou ainda, descobrir quanto de saldo cripto você tem armazenado nesses dispositivos.
Ou seja, como dissemos no início do artigo, a indignação das pessoas e a viralização da polêmica envolvendo o novo serviço de recuperação anunciado pela Ledger se deu porque a maioria das pessoas percebeu que nenhum dispositivo de hardware é perfeito e a exportação das chaves privadas é possível.
O firmware dessas hardwallets pode acessar o material de chave privada.
E as pessoas simplesmente não tinham percebido – pelo menos até o anúncio do Ledger Recover – que no caso da Ledger, por ter um código fonte “fechado”, você está confiando que eles simplesmente não disponibilizarão essa funcionalidade a terceiros.
Quando olhamos para dispositivos de outros fabricantes, e literalmente conseguimos olhar as APIs – as interfaces de programação que são disponibilizadas para qualquer desenvolvedor que deseje interagir com o dispositivo – , podemos ver que não há nenhuma maneira de programar esse dispositivo para solicitar sua SEED. O que não significa que essa funcionalidade não possa ser adicionada no futuro.
Pois bem, no nosso caso específico, há outro ponto importante a ser destacado aqui.
A violação implícita do relacionamento entre cliente e fabricante
Segundo a Ledger, você precisaria autorizar o serviço de recuperação, e essa autorização é equivalente a autorizar uma assinatura a partir do seu dispositivo. Dessa forma, bastaria você continuar mantendo sua relação de confiança apenas com o fabricante da wallet que você já usa.
No entanto, como diz o ditado popular, “o diabo está nos detalhes”…
E o problema real aqui é, mesmo que você não tenha decidido participar do serviço de recuperação da Ledger, o código para ele será enviado para seu dispositivo se você conectá-lo e permitir que ele faça uma atualização de firmware.
Ou seja, você não optou pelo serviço, mas é obrigado a aceitar que o recurso seja instalado na sua wallet?
Ora, até antes do anúncio do Ledger Recover, na quase totalidade das vezes, quando alguém decidiu comprar uma Ledger, o fez porque decidiu fazer autocustódia via armazenamento a frio. E agora, no meio do caminho, é obrigado a aceitar uma custódia híbrida imposta pelo fabricante?!!
Perceba que as pessoas confiaram no fabricante com base, entre outras coisas, na garantia que eles deram a você de que ninguém teria acesso às sua chaves privadas (SEED). E agora o fabricante decide colocar um código lá, independente de sua aceitação ou não, que faz exatamente isso?!
Por outro lado, imagine o enorme número de ataques phishing que surgirão após essa grande repercussão do Ledger Recover, tentando te convencer de que, para para não ter esse código no seu dispositivo, você precisa obter esse “outro firmware”, ou que precisará colocar sua SEED neste outro site.
O que é aconselhável fazer agora?
Muitas pessoas estão questionando se é preciso abandonar a Ledger e buscar outro fabricante de hardware.
E o que eu posso dizer é: não é preciso fazer nada agora.
Ainda que já exista um firmware mais recente disponível para atualizar sua wallet, ou até mesmo que você já tenha instalado este firmware, você não precisa fazer nada.
Mas é preciso estar ciente de que da próxima vez que você conectar sua Ledger, e atualizar o firmware, você terá um novo recurso que pode não estar ativado, mas será implantado no seu hardware.
Então, na minha opinião, a princípio não faça nada.
O modelo operacional de segurança de seu hardware não mudou. E a Ledger que você possui é segura e se você possui um bom backup de sua SEED, sua hardwallet Ledger continua a ser um dispositivo perfeitamente adequado para armazenamento a frio.
O que não é aconselhavel fazer agora é realizar transações frequentes com esse dispositivo, fora do uso para armazenamento frio.
A esta altura, você ainda deve estar com algumas dúvidas pertinentes como…
O que acontece ao não atualizar o firmware e não usar a Nano X com o Ledger live? Eu posso usar minha Ledger Nano X com um programa de terceiros?
É possível usar sua Ledger Nano X com provavelmente uns 50 frontends de software diferentes para Bitcoin e outros 50 para ethereum.
E outras cadeias que possuem interfaces de carteira de hardware nas quais você pode conectar sua Ledger. Você não precisa usar o software deles e, em alguns casos, certamente descobrirá que outros softwares têm melhores opções para gerenciar taxas, ou estão mais atualizados e possuem alguns dos outros recursos.
E isto é assim, porque um dos principais conceitos de uma carteira de hardware que você deve sempre considerar é que o software complementar não é necessário para que você possa usar seu dispositivo. E muitas vezes o software complementar do fabricante da hardwallet não é o mais adequado às suas necessidades.
Com relação a não manter o firmware de sua hardwallet atualizado, o que posso dizer é que você passará a ter um hardware de carteira em “estado de decadência”. E essa decadência ocorre porque a tecnologia está em constante evolução. E vulnerabilidades e bugs são encontrados que podem causar pequenos erros e alguns inconvenientes.
Recentemente, tive que migrar criptos de uma Ledger S porque o visor dela estava quase totalmente apagado. O dispositivo em si estava em ordem, e com muito esforço e o auxílio de uma lupa, conseguia enxergar e colocar o PIN e acessar a wallet no Ledger Live. Mas tive de migrar meu saldo para outro dispositivo para não correr o risco do visor apagar completamente.
Pois bem, é esse tipo de bug ou inconveniente que você pode ter ao não atualizar o firmware de uma hardwallet. Talvez não sejam bugs críticos, mas bugs irritantes que, por exemplo, pagam taxas a mais ou outras coisas do gênero.
Bem por isso, uma coisa é certa: quanto mais tempo você deixar o dispositivo sem atualizar o firmware, menos útil ele se tornará com o tempo.
E embora seja difícil definir um prazo exato para isto acontecer, depois de três ou quatro anos começa a ficar complicado.
De todo modo, pesquise com calma e no seu tempo e, se for o caso, migre para outro fabricante de hardwallet mais adequado ao modelo de autocustódia de sua preferência.
O importante é saber “agora” que não há urgência.
E quando decidir mudar para outro dispositivo, não tente apressar esse processo.
Adquira um novo dispositivo, familiarize-se com ele, configure uma nova SEED, descubra toda a mecânica. Teste-o, faça backup, restaure-o, limpe-o para restaurá-lo novamente. Envie uma pequena quantia de teste. E só então, quando estiver muito confortável, transfera seus criptoativos para este novo dispositivo.
Takeaway
Ao anunciar seu novo serviço de recuperação de SEED, a Ledger deixou de ser uma solução de autocustódia de armazenamento a frio.
Como acabamos de ver, se você usar o serviço de recuperação Ledger Recover, estará basicamente migrando de uma autocustódia de armazenamento a frio para uma solução de custódia híbrida.
O problema disto é que os guardiões dos fragmentos de sua SEED podem ser coagidos a “confiscar” seus criptoativos ou revelar quantas criptos você possui – o que pode comprometer sua privacidade e segurança.
Além disso, não sabemos qual é o risco de engenharia social que essa mudança pode ocasionar, dado que não está muito claro exatamente quais serão os procedimentos de autenticação quando se aceita ser um usuário do Ledger Recover.
Mas e você? Tinha ideia dos prós e dos contras do novo serviço de recuperação da Ledger? Compreendeu seus riscos e possíveis impactos ao seu modelo de autocustódia?
Conhecimento é poder! Nos vemos em breve!!
Trusted
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
