La dura lección de Ledger: tener razón no basta

Ledger, el Maker de billeteras de hardware con sede en París, ha tenido una semana terrible. Y, en gran medida, parece que la culpa es suya.

Las cosas empezaron bastante mal. La presentación de Ledger el 16 de mayo de la“Recuperación del libro mayor” El servicio de recuperación de frases semilla fue recibido con escepticismo por la comunidad Cripto , que estaba preocupada por los nuevos riesgos de seguridad que se estaban introduciendo en una de las billeteras de hardware más confiables del mercado.

Este artículo es un extracto de The Node, el resumen diario de CoinDesk con las noticias más importantes sobre blockchain y Cripto . Puedes suscribirte para recibir la información completa. boletín informativo aquí.

Luego todo empeoró mucho. A mediados de semana, Twitter se llenó de especulaciones descabelladas sobre la posibilidad de que los dispositivos Ledger estuvieran comprometidos. Incluso hubo...Vídeos que destrozan los libros de contabilidad De un tipo que normalmente se asocia con boicots de guerra cultural de extrema derecha. En parte, esto se debió a la creciente paranoia, la exageración en redes sociales y malentendidos básicos sobre la arquitectura Cripto . Pero las propias comunicaciones de Ledger también echaron leña al fuego.

La principal lección del incidente para otras empresas de Cripto es simple: no basta con ser técnicamente correcto, especialmente en tiempos de crisis. Dado que las Cripto atraen a cada vez más usuarios con conocimientos técnicos limitados, es más importante que nunca comunicarse con claridad y precisión.

En otras palabras, es importante no publicar tuits como este. Por el bien de nuestra industria.

No puedes soportar la verdad

Algunos de los que se unen para atacar a Ledger simplemente han malinterpretado que el nuevo servicio Ledger Recover y eldocumentación de identidad Las opciones involucradas son completamente opcionales. Ledger Recover está dirigido a usuarios de Cripto menos rigurosos que buscan una Regulación de seguro contra la pérdida de sus claves privadas. Estratégicamente para Ledger, y francamente para las Cripto en general, ofrecer este tipo de opción de seguridad intermedia tiene sentido.

Pero la reacción se salió aún más de control después de que alguien en Ledger, supuestamente un...agente de atención al cliente, tuiteó que “técnicamente hablando, es y siempre ha sido posible escribir firmware que facilite la extracción de claves”.

Ahora bien, aquí está la cuestión: aunque Ledger ha actuado sabiamente,eliminó y reformuló su mensajeEste tuit parece ser bastante preciso. Como lo explicó el pionero de la criptografía Christopher Allen.en este hilo de Twitter"Solo se necesita una actualización de firmware firmada y las semillas pueden ir a donde quieran". Y esto aplica a muchos tipos de billeteras de hardware, no solo a Ledger.

Pero vaya, decir "siempre has confiado en que Ledger no te robará todo el dinero" no es la forma correcta de expresarlo. A pesar de ser bastante preciso, el mensaje aumentó enormemente la confusión, alimentando aún más la retórica de pánico en Twitter, incluyendo afirmaciones de que se ha descubierto que los dispositivos Ledger tienen una falla profunda o una "puerta trasera".

Ver también:Ledger responde a las críticas sobre su nuevo servicio de recuperación de billeteras

El comentario ofensivo parece confirmar simultáneamente todos los peores temores que se están planteando y, al mismo tiempo, menospreciar a quienes se preocupan por no haberse dado cuenta antes. Independientemente de la intención, tanto "técnicamente hablando" como "lo supieras o no" se interpretarán como condescendientes, incluso desdeñosos. "Sí, podemos hacer lo que más te preocupa, pero no deberías preocuparte porque siempre podríamos hacerlo, y eres un poco tonto por no haberte dado cuenta ya" no es una forma de calmar a nadie.

Una forma de pensar en este desafortunado drama es que el lenguaje no es como el código informático.

(Una nota sobre la responsabilidad aquí: si de hecho fuera un REP de servicio al cliente de base, quien escribió este tuit no debería haberse sentido autorizado o responsable de hacer una declaración tan amplia. La verdadera culpabilidad por el paso en falso se encuentra más arriba en la cadena de mando).

Peor aún, el mensaje comete un pecado que en el periodismo llamamos "ocultar la noticia". Un segundo tuit, enlazado con la publicación (técnicamente hablando), enfatizó que cada actualización debe ser aprobada manualmente por el usuario. Este es el CORE de la refutación de Ledger a los continuos ataques en su contra.

Todavía puedes usar un Ledger

Aunque los matices técnicos quedan fuera de mi alcance aquí, algunos expertos extremadamente confiables han refutado las preocupaciones más extremas que circulan sobre Ledger.

Lo más significativo es que Taylor Monahan, fundador de la billetera MyCrypto y ahora parte del equipo Metamask, ha condenado enérgicamente las preocupaciones sobre Ledger como“tonterías sensacionalistas”.Haseeb Qureshi, de Dragonfly Capital, también se retractó notablemente de sus preocupaciones iniciales, escribiendo:"Ahora estoy en el 'no importa, está bien'"campamento.

Es demasiado pronto para dar por sentado que todo está bien, pero el principal malentendido está claro. Una billetera de hardware necesita un sistema operativo (SO) actualizable, incluso para poder añadir compatibilidad con nuevos tokens y cadenas. Por lo tanto, los usuarios deben permitir actualizaciones en algún momento, y la mayoría de los usuarios de Ledger probablemente ya hayan recibido una o dos actualizaciones antes de que estallara la controversia actual.

Es decir, han confiado en Ledger, lo supieran o no. El hecho de que se usara una actualización para implementar un plan de recuperación fue lo que finalmente llamó la atención sobre el proceso. La alternativa no es comprar una billetera de hardware diferente, sino guardar la frase semilla en un papel en una caja fuerte.

Ver también:Brainwallets: La billetera Bitcoin que probablemente no deberías usar

El ONE punto débil que parece válido sobre Ledger es que estas actualizaciones y su código no son de código abierto, mientras que el de muchas otras billeteras de hardware sí lo es. Esto realmente aumenta la confianza depositada en Ledger incluso más que en otras billeteras. Sin embargo, esta cuestión real se ha visto enturbiada por mucha especulación errónea y errónea, y Ledger, hasta el momento, no ha logrado disipar ni las preocupaciones reales ni las erróneas.

Una forma de pensar en este lamentable drama es que el lenguaje no es como el código informático. Si escribes un contrato inteligente o un motor de física, puedes construir la misma función de media docena de maneras diferentes con pocas diferencias funcionales. En cambio, al escribir un tuit, las pequeñas variaciones influyen enormemente en su recepción. Es arte, no ciencia, y la brecha entre ambos no hará más que crecer a medida que más personas promedio adopten las Cripto.