El escandalo de Ledger y su nueva función de recuperación de palabras semilla

[Pospolito]

Ledger recibe críticas por 'Recover': una nueva función que atenta contra la privacidad

El fabricante de monederos de hardware Ledger enfrenta críticas por una nueva actualización de firmware llamada "Recover"

es.beincrypto.com

Ledger recibe una lluvia de críticas porque la nueva función que abriría una brecha en la privacidad y seguridad del dispositivo.

Vamos, que sería casi como una billetera caliente.

 

[razza13]

Lo ví ayer. Es una función que puede ser muy útil para algunas personas, pero desde luego para muchas otras no. Si quiero una billetera caliente no me gasto 100$...

Yo de momento tengo ahí mis fondos, y la billetera sin conectar, y la verdad es que no me gustaría tener que comprar una nueva de otra casa... pero quizá toca eso.

 

[cristoshi]

Yo estoy esperando que alguien confirme que mientras tú no des consentimiento, la frase semilla no sale del Ledger. Si en virtud de la actualización, de alguna forma aunque no des consentimiento, la App de Ledger Live tiene acceso a tu semilla, estaré un poco jodido la verdad.
Y también tendrán que indicar si tienen acceso a la passphrase. Porque aunque tuvieran mi semilla, les faltaría la palabra 25, que desgraciadamente también guarda el Ledger de una u otra forma.

 

[mirto]

Parece ser que seria voluntario (hasta que lo conviertan en obligatorio), huele mal. Hay que 'confiar' en un tercero ( con ellos) y sabemos que un tercero de confianza es un Bujero de seguridad. Huele a KYC a las billeteras frías.
Esto no parece una puerta trasera, sino una puerta delantera total..jajajaja

Y podría ser o convertirse en lo que se llama un hackeo de jubilación, que no tiene que ser este caso, claro

Esto puede dar lugar a lo que se puede denominar Hackeo de jubilación. Supongamos que el desarrollador de estas wallets puede tirar de un hilo y descifrar las palabras secretas, cuando haya muchas walletas abiertas etc....y un dia quiera 'jubilarse'

Y por esto la culturilla del hilo mencionado

Guardar CriptoWallet con UNA sola PALABRA. Calcular tu Propia Semilla Hardwallet Manualmente

Esto es con una intención didáctica. No me hago responsable de nada si alguien (salvo Benji) tiene la insensatez de probarlo y fallar. Hay múltiples de variantes Objetivo. Guardar semilla de wallet (24 palabras) USANDO SOLAMENTE UNA PALABRA, palabras o frase, por ejemplo "mirto" o "mirto era...

forocoin.net

De todas formas, Ledger seria un elemento a prescindir. Desde que la p..pantallita de mi ledger nano S se inutilizo, sin apenas uso, significó para mi que no me sirve para guardar a largo plazo. Y me pase en parte al Trezor

4 una de reserva. A mi me paso que en el asqueroso ledger nano s se dejo de ver la pu..a pantalla. Y si tienes prisa o quieres tradear con ella, tendrás que ponerlo en el pc , con el consiguiente peligro o esperar a que te llegue la nueva hardware

.

 

[smoka]

A ver si se puede explicar de forma mas o menos sencilla lo de ledger para intentar aclarar cosas y que no siga corriendo la desinformación

Si con una simple actualización de firmware se puede extraer la semilla del dispositivo, significa que siempre se pudo hacer a nivel de hardware, pero que el código al no estar liberado, nunca nadie lo descubrió

Ahora sabemos que se puede, por lo que alguien con muchos recursos podría extraer la semilla del dispositivo. Llamese Ledger, CIA o a saber... (Podría existir una backdoor y nadie saberlo, o no... Quien sabe )

No significa que Ledger tenga tu semilla, ni que se comparta porque el dispositivo no hace falta ni que lo conectes a internet (depende del uso que le de cada usuario)

Tampoco significa que te vayan a robar el Ledger y por ello te puedan robar los fondos, esto se mitiga con una simple passphrase, por ejemplo

Simplemente es un revuelo en la comunidad, porque lo que antes era un candado que solo mostraba semilla al introducir contraseña, ahora es un candado que ademas de mostrar la semilla, tiene una funcionalidad para extraerla
No quiere decir que alguien asi por las buenas pueda extraer la semilla, pero si quiere decir que existe la posibilidad de que alguien pueda hacerlo cuando en otras hardware wallets no es posible porque se sabe todo lo que hace el dispositivo a nivel interno ya que son 100℅ open source

Lo del servicio KYC es otra historia diferente, pero la posible vulnerabilidad ya sabemos que existe, (repito por si no ha quedado claro) es decir que ahora sabemos que se puede extraer la semilla del dispositivo, algo que todavía no ha pasado y puede que nunca suceda, pero el riesgo ya sabemos que existe

Ese es el revuelo... Espero haberlo explicado bien y que le pueda servir a la comunidad para entender mejor lo que está pasando, fuera del pánico que se haya creado por twitter de gente diciendo que ledger tiene su semilla... Jejeje

Lo de ledger live es otra historia también, que no viene cuento

Lo de los datos robados de usuarios en su web es otra historia, que no viene a cuento

Y todas las conspiraciones contra Ledger o posibilidades de la empresa en el futuro de pedir KYC, también es otra historia que no hay que mezclar con esta actualizacion de firmware

 

[smoka]

Para el que esté intranquilo con el tema de la semilla o sea un usuario más avanzado y se le de bien la informatica que se ponga a trabajar:

Horas de conocimiento concentradas en estos artículos. Completamente GRATIS!

Construye tu billetera fría HODL BTC

Cómo usar TailsOS en una memoria USB, con Electrum y Keepass

darthcoin.substack.com

Hodl-de-Bitcoin-seguro/README.md at main · regiregi22/Hodl-de-Bitcoin-seguro

Almacena tus bitcoins de manera segura y gratuita. Contribute to regiregi22/Hodl-de-Bitcoin-seguro development by creating an account on GitHub.

github.com

¿Confías en tu semilla? No confíes, hazla tú mismo - Estudio Bitcoin (Crea tu semilla)
Fabrica tu mismo una billetera fría con arandelas - Estudio Bitcoin (Backup en metal de las palabras de recuperación)
https://estudiobitcoin.com/guia-para-crear-un-passphrase/ (Crea un passphrase)
https://estudiobitcoin.com/guarda-tu-passphrase-en-metal/ (Backup en metal de la passphrase)
https://estudiobitcoin.com/seedsigner-que-es-y-guia-de-montaje/ (Crea tu HW)
https://estudiobitcoin.com/como-hacer-tu-plan-de-herencia-bitcoin/ Diseña tu plan de herencia)
https://estudiobitcoin.com/como-crear-una-cartera-multifirma-en-specter-wallet-via-testnet/ (para explorar con multifirmas)

 

[Pimblett]

Mal pinta

 

[smoka]

Explicado para novatos:

Al no ser open source siempre hubo que confiar en la empresa
No ha cambiado nada, solo se ha revelado una nueva funcionalidad
Al igual que en cualquier hardware wallet que no sea open source a nivel de hardware como safepal por ejemplo, los usuarios deben confiar en la compañía que fabrica ese dispositivo, porque nadie sabe qué puede hacer a nivel interno
Es bueno por seguridad y es malo porque necesitas confiar
El usuario decide

 

[cristoshi]

Tampoco significa que te vayan a robar el Ledger y por ello te puedan robar los fondos, esto se mitiga con una simple passphrase, por ejemplo

Yo tengo passphrase (PP), pero me imagino que da igual ¿por qué es diferente? al fin y al cabo, si de alguna forma el Ledger muestra o da aprobación cuando realizo operaciones con el PP, será lo mismo no?.

Quiero decir, si con la actualización pese a que no quieras el servicio opcional de recuperación de semilla, si de alguna forma Ledger puede conocerla, me imagino que aunque tenga PP, sabe la semilla + el PP.

 

[Rolo Heisenberg]

Solo una cosa, esa actualización por lo que veo de momento solo afecta al Ledger X no al Nano S.
Eso sí, tal y como ha cometado @smoka como Ledger no tiene el codigo abierto se deduce que siempre ha podido extraer la semilla de nuestro dispositivo y está claro que si un gobierno se lo pide-exige va a poder dársela...

 

[smoka]

Paradojicamente el equipo de seguridad de Ledger, Donjon, ha encontrado varias vulnerabilidades en otros dispositivos, tales como Trezor, Coldcard, etc, gracias a ser open source. Al ser close source, no sabemos que vulnerabilidades se encontraron en Ledger, de hecho Donjon nunca las compartió...

Nunca he recomendado Ledger. Mira en todo lo que ha derivado por ser close source + mal gestión de data de clientes...

Solo hablo de una forma de mitigarlo para el que no quiere cambiar:
Recovery words sin pass (semilla 1) en ledger live para actualizar.
Y Recovery words con pass sin unirlo a un PIN (semilla 2) para usar en Sparrow.

Aún así no confió en ledger en cuanto a la generación de claves (por eso hablo de mitigar con passphrase.

 

[razza13]

¿Puede ser que hayan dado marcha atrás verdad? Y además, dicen que van hacia un modelo de código abierto... veremos, pero menudo volantazo.

Ledger da marcha atrás: posterga lanzamiento de Recover tras las críticas

La hardware wallet no lanzará la actualización de su firmware que incluía la posibilidad de guardar la semilla en la nube.

www.criptonoticias.com

 

[Riddick]

Lo habéis comentado ya, pero yo no veo diferencia entre Ledger, Trezor y demás.
Al final, de una forma u otra, tienes que confiar en un tercero y en que no haya puertas traseras.

 

[Lucli]

Eso no es así, trezor es código abierto y hasta tu mismo podrías comprobar su seguridad, si tienes los conocimientos claro. En ledger no podrías hacerlo.

 

[dandev]

tranquilos , nadie te robara tus 1000 btc

 

[MrPapagiorgio]

Eso no es así, trezor es código abierto y hasta tu mismo podrías comprobar su seguridad, si tienes los conocimientos claro. En ledger no podrías hacerlo.

Si claro, como no.