#cryptonews #crypto2023 #dyor #BTC #security

Ledger, ein führender Anbieter von Hardware-Wallets für Kryptowährungen, hat mit seinem neuesten Service Ledger Recover einen Sturm der Kontroverse innerhalb der Krypto-Community ausgelöst. Die auf Benutzeridentifikation (ID) basierende Funktion soll die Wiederherstellung von Zugangsschlüsseln für Kryptowährungs-Wallets ermöglichen. Die Ankündigung stieß jedoch auf starke Kritik und Sicherheitsbedenken.

Das neu eingeführte Tool Ledger Recover soll eine Backup-Lösung für den Fall bieten, dass die Seed-Phrase oder die Recovery-Phrase verloren geht. Dabei handelt es sich um einen geheimen Schlüssel aus 12 bis 24 Wörtern, mit dem auf ein Kryptowährungs-Wallet zugegriffen und bei Bedarf die zugehörigen Gelder abgerufen werden können.

Der neue Ledger-Dienst teilt die Wiederherstellungsphrase in drei Fragmente auf und sendet sie an vertrauenswürdige Dritte. Wenn diese Informationen kombiniert und entschlüsselt werden, können sie verwendet werden, um die ursprüngliche Phrase zu rekonstruieren, wie The Block berichtet.

Der Vorschlag hat jedoch eine hitzige Debatte unter Nutzern und Sicherheitsexperten ausgelöst, vor allem aufgrund seiner Know Your Customer (KYC)-Anforderungen. Um den Wiederherstellungsdienst nutzen zu können, müssen Benutzer ihren Reisepass oder ein nationales Ausweisdokument vorlegen, um ihre Identität zu bestätigen. Viele Kryptowährungsbegeisterte legen Wert auf ihre Privatsphäre und finden, dass diese ID-Forderung im Widerspruch zu den dezentralen Prinzipien digitaler Währungen steht.

„Das ist eine schreckliche Idee. Aktivieren Sie diese Funktion NICHT“, riet Mudit Gupta, Sicherheitsdirektor bei Polygon Labs, auf Twitter. Dieser Meinung war auch der bekannte Krypto-Investor „DC Investor“, der erklärte: „Ich würde niemandem empfehlen, eine solche Firmware zu aktualisieren.“

Gupta verteidigte das Konzept der Fragmentierung der Seed-Phrase und hielt es für einen positiven Schritt. Er wies jedoch darauf hin, dass die verschlüsselten Schlüssel an „drei Unternehmen“ gesendet würden, die möglicherweise in der Lage seien, die Phrase zu rekonstruieren.

Die Ledger Recover-Funktion ist in der neuesten Firmware-Version 2.2.1 für Ledger Nano X-Hardware-Wallets enthalten. Derzeit gilt die Identitätsregistrierungspflicht für Benutzer aus der Europäischen Union, dem Vereinigten Königreich, Kanada und den Vereinigten Staaten. Das Unternehmen plant, in Zukunft auch die Unterstützung für von anderen Regierungen ausgestellte Dokumente hinzuzufügen.

Laut Wired wird der Dienst 9,99 Dollar pro Monat kosten und auf drei Verwahrern basieren: Ledger, Coincover und EscrowTech.

„Das ist eine Katastrophe, die nur darauf wartet, zu passieren“, kommentierte ein Reddit-Benutzer. „Ich kann wirklich nicht glauben, was ich da lese; es scheint verrückt, dass ein Hardware-Wallet-Anbieter Sie dazu auffordert, Ihre ursprüngliche Phrase online zu sichern UND ihnen [AUCH] Ihren Reisepass/Personalausweis zu geben.“

Obwohl Nicolas Bacca, Mitbegründer und Vizepräsident des Innovation Lab bei Ledger, auf die Bedenken von Benutzern auf Reddit reagierte, äußerten viele Personen erneut ihre Bedenken hinsichtlich der Sicherheitspraktiken und der Möglichkeit, dass böswillige Akteure die Funktionalität ausnutzen und Zugriff auf Schlüssel erhalten könnten, was zu einem Diebstahl von Kryptowährungen führen könnte.

Adrian Hetman, Technologieleiter bei der Web3-Bug-Bounty-Plattform ImmuneFi, hob das mit dem Tool verbundene Risiko hervor und erklärte, dass es einem böswilligen Akteur mit Zugriff auf den Reisepass oder den Personalausweis eines Benutzers die Möglichkeit bietet, die Kontrolle über dessen Gelder zu erlangen. „Identitätsdiebstahl ist weit verbreitet und dies würde Kryptowährungsnutzer einer neuen Form von Angriffen aussetzen“, sagte Hetman gegenüber Decrypt.

Trotz der zahlreichen Kritik verteidigt Ledger seine neue Wiederherstellungsfunktion. In einer E-Mail an The Block erklärte ein Sprecher von Ledger, dass der Prozess der Entschlüsselung der drei Fragmente nur auf dem Ledger-Gerät erfolgen könne, nachdem der Benutzer seine Identität bestätigt habe. Der Sprecher betonte, dass die beteiligten Unternehmen in keiner Weise Zugriff auf die Seed-Phrase hätten und dass es sich um einen kostenpflichtigen Dienst handele.

Die drei Unternehmen, die die Fragmente sichern, „haben niemals Zugriff auf Ihre Seed-Phrase, sie wird nicht ‚in der Cloud‘ gespeichert und Backups werden nur dann direkt auf Ihrem Ledger verschlüsselt, fragmentiert und entschlüsselt, wenn Sie sich anmelden. Wenn Sie also ein Ledger-Benutzer sind, der seinen Ledger wie immer verwenden möchte, können Sie dies weiterhin ohne Bedenken tun. Für Sie ändert sich nichts.“

Ledger ist einer der größten Anbieter von Hardware-Wallets für Kryptowährungsinvestoren. Das Unternehmen stand bereits zuvor in der Kritik, insbesondere nach einem Datenverstoß im Jahr 2020, bei dem die Telefonnummern und Postadressen von fast 300.000 Kunden sowie über 1 Million E-Mail-Adressen offengelegt wurden.