A Ledger, uma das maiores fornecedoras de carteiras físicas de criptoativos, anunciou na terça-feira, 16, sua nova solução para recuperação de fundos de clientes. Chamada de Ledger Recover, a funcionalidade consiste em exportar uma frase de recuperação encriptada para fora da carteira, que será dividida em três partes, cada uma mantida por uma instituição diferente. A comunidade cripto, no entanto, demonstrou preocupação com a novidade.

As informações na página oficial da Ledger Recover apontam que a frase de recuperação que todo o usuário de carteiras da fabricante possui é duplicada, encriptada e dividida em três partes. Uma das partes é mantida pela Ledger, outra pela empresa de segurança Coincover e a parte restante pela empresa focada em garantias EscrowTech. Cada empresa está localizada em uma jurisdição diferente, dividindo-se entre Reino Unido, União Europeia e Estados Unidos.

Para ativar a funcionalidade, cujo efeito prático é exportar o acesso aos fundos para fora do dispositivo físico, é necessário atualizar o firmware do dispositivo e optar, expressamente, pelo uso do Ledger Recovery. Além disso, a funcionalidade depende da identificação do usuário através de documentação pessoal e uma selfie, bem como do pagamento de uma mensalidade de US$ 9,99.

De acordo com a Ledger, a nova funcionalidade foi pensada para usuários que querem “acrescentar uma camada de segurança para quando a frase de recuperação é perdida”. Isso faz com que o Ledger Recover seja um mecanismo para facilitar o uso de carteiras físicas por parte de usuários menos experientes. A possibilidade, no entanto, não agradou uma parcela de usuários.

• A PLATAFORMA CRYPTO BRASILEIRA QUE ACEITA PIX NO DEPÓSITO. Invista em criptomoedas e faça seus depósitos em reais com a segurança do Pix. A Mynt tem atendimento 24 horas, todos os dias; Acredite no poder da economia digital e saia na frente. Abra sua conta com taxa zero.  

Recepção negativa

Usuários de carteiras da Ledger foram ao Twitter e ao Reddit demonstrar descontentamento com a decisão. A preocupação mais citada está relacionada ao envio da frase de recuperação para fora do dispositivo, o que vai contra o propósito de autocustódia de criptoativos. Ainda que o envio dependa do consentimento do usuário, clientes da Ledger desconfiam que a presença do mecanismo no firmware possibilitaria um ataque para obter a informação.

A primeira manifestação negativa no Twitter ocorreu na manhã da terça-feira, por um usuário chamado Foobar, e já conta com quase 700 mil visualizações. Ele classificou a funcionalidade como uma abertura na segurança para ser explorada.

“Uma carteira em hardware deve conter uma área segura de onde as chaves privadas nunca devem sair, sob qualquer circunstância. Eles [a Ledger] abriram APIs para que essa área envie chaves encriptadas para terceiros na internet”, disse Foobar.

Banteg, como se identifica o líder do time de desenvolvimento da aplicação Yearn.finance, comentou sobre a opção da Ledger de permitir que a frase de recuperação deixe o dispositivo. “A Ledger diz: é impossível extrair a chave principal do dispositivo. A Ledger também diz: abrimos o firmware para permitir a extração da chave principal do dispositivo. Mas não se preocupem, nós garantiremos a segurança da sua carteira, bem como do seu endereço físico”,

Mudit Gupta, Chefe de Segurança da Informação da Polygon, classificou a ideia como “horrenda”. Gupta argumentou que a verificação através de identidade não é um mecanismo de segurança a prova de falhas: “Sabe o que mais é assegurado por verificação de identidade? Transferência de número de telefone. Você sabe quantos casos de invasão de números de pessoas importantes ocorrem diariamente? Muitos. Qualquer coisa assegurada por ‘verificação de identidade’ é inerentemente insegura. É muito fácil forjar".

Já o usuário Aylo, criador do coletivo Alpha Please, considerou o produto útil para alguns usuários. Ele salientou, porém, que a maior parte dos usuários de Ledger querem praticar autocustódia tendo a certeza de que suas chaves de recuperação não serão acessadas ou enviadas para fora do dispositivo. “Isso deveria ser um produto separado, incluído em novos dispositivos”, comentou Aylo.

Posicionamento da Ledger

Dada a rápida repercussão negativa do Ledger Recover, a fabricante de carteiras organizou um Twitter Spaces ainda na terça-feira com o intuito de esclarecer dúvidas de seus usuários. A Ledger afirmou que, apesar da possibilidade criada para acessar a frase de recuperação de seus usuários, a ação nunca seria feita sem consentimento. Charles Guillemet, CTO da empresa, disse que o usuário sempre será notificado quando a empresa interagir com alguma das suas chaves de segurança.

Além disso, Guillemet explicou que, ainda que as partes mantidas pelas instituições sejam obtidas por hackers, ainda seria necessária a confirmação do usuário através da sua identificação pessoal. O processo também deveria ser aprovado pelo usuário caso algum malware tentasse invadir a carteira usando o sistema, acrescentou o CTO.

Ian Rogers, Chefe de Experiências da Legder, contou durante o evento que o Ledger Recover tem como objetivo melhorar a experiência do usuário. “O Ledger Recover permite que as pessoas recuperem suas chaves privadas. Se você não está preocupado com a segurança de suas chaves privadas, então isso não é para você. É 100% opcional”, comentou Rogers.

Pascal Gauthier, CEO da Ledger, não se mostrou preocupado com as críticas. Ele afirmou que o Ledger Recover “supera os comentários negativos vistos no Twitter” quando a necessidade de investidores de criptomoedas que dependem dessa funcionalidade é colocada em perspectiva. Gauthier acrescentou que testes foram feitos com usuários, que afirmaram que um produto como o Ledger Recover é necessário para o mercado.

“Tudo bem se você não gosta. Essa é a beleza da autocustódia: você está no comando das suas chaves privadas. Você pode usar qualquer serviço que você quiser e, se você acha que a Ledger está indo na direção errada, existem outros serviços no setor. [...] Acredito que estamos fazendo a coisa certa, e não tenho problemas se você discordar, tudo bem em discordar, e podemos concordar em discordar. E você, definitivamente, pode usar outros serviços, pois essa é a beleza da autocustódia”, disse o CEO da Ledger.

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube | Telegram | Tik Tok