Is er een goed Ledger alternatief? Want hoe zit het precies met de problemen bij Ledger? Afgelopen week kwam het bedrijf negatief in het nieuws, door een nieuwe functie waarbij de Ledger Nano X hardware wallet jouw recovery phrase deelt met drie externe partijen.
Wat is er allemaal aan de hand? En het belangrijkste: zijn jouw funds nog wel veilig als je een Ledger Nano gebruikt?
Ledger Recover
Het grote probleem bij Ledger is een nieuwe functie die het mogelijk maakt om jouw recovery phrase te herstellen, zelfs als je deze kwijt bent geraakt. De recovery phrase (herstelzin) is een lijst met woorden waarmee de wallet kan worden hersteld. Iedereen die deze recovery phrase vindt of in bezit heeft, kan toegang krijgen tot jouw crypto.
Op een veilige plek
Normaal gesproken bewaar je deze lijst met woorden daarom op een veilige plek, bijvoorbeeld in een kluis bij je thuis of zelfs bij een bank. Er zijn zelfs speciale stalen plaatjes verkrijgbaar waar je jouw recovery phrase met een hamer inslaat, zodat je recovery phrase zelfs na een brand of overstroming nog steeds zichtbaar is.
Het wordt zelfs aangeraden om je recovery phrase in twee delen en op twee verschillende plekken te bewaren. In ieder geval is het dus ontzettend belangrijk om ervoor te zorgen dat alleen jij en de mensen die je vertrouwt toegang hebben tot deze informatie.
Recovery seed verloren?
Het komt alleen vaak voor dat mensen hun lijstje met woorden kwijtraken. Gewoon omdat ze hem niet terug kunnen vinden, het papiertje nat en onleesbaar is geworden of welke reden dan ook. Ken je het verhaal van de man die jarenlang op zoek is geweest naar zijn oude harde schijf, omdat daar zijn bitcoin-wallet met 350 miljoen dollar aan waarde zou moeten liggen. Niet ideaal, natuurlijk.
Want had deze man zijn recovery phrase nog gehad, dan had hij direct toegang tot zijn 7500 bitcoin die hij in de beginjaren van bitcoin had gekocht. Inmiddels is hij al tien jaar aan het zoeken. Het geeft in ieder geval aan hoe belangrijk het is om die set woorden goed te bewaren, maar ook hoe veilig het is. Zonder de recovery phrase komt niemand bij je crypto.
Extra functionaliteit of risico?
Ledger, de Franse fabrikant van de populaire hardware wallets Ledger Nano S en Ledger Nano X, heeft een extra functionaliteit toegevoegd onder de naam ‘Ledger Recover’. Het komt erop neer dat je daarmee opnieuw toegang kunt krijgen tot je hardware wallet en crypto, zelfs als je jouw recovery phrase om wat voor reden dan ook kwijt bent. Daarmee zou je kunnen voorkomen dat je tien jaar lang op een vuilnisbelt naar je oude harde schijf op zoek gaat.
Is de Ledger Nano nog wel veilig?
De problemen rondom de nieuwe functionaliteit, heeft de aandacht op Ledger gevestigd. Daardoor zijn veel mensen ook naar andere zaken gaan kijken. Een belangrijk punt is namelijk dat de firmware-code van de Ledger-wallets geen open source is. Dat wil zeggen, de code is niet openbaar, dus niemand kan onderzoeken hoe het echt werkt, behalve Ledger zelf.
Vertrouwen in het bedrijf Ledger
Dit veroorzaakt een golf van vermoedens over wat er allemaal op de achtergrond in de code gebeurt. Met andere woorden, als je een Ledger Nano hebt, dan kun je alleen vertrouwen op wat het bedrijf beweert en maar hopen dat het waar is.
Overheden kunnen mogelijk toegang krijgen
Een ander nadeel van de Ledger Recover-functie is dat overheden mogelijk toegang zouden kunnen krijgen tot jouw crypto. Overheden kunnen bedrijven dwingen toegang te geven tot de private keys van hun klanten.
Backdoor
Veel gebruikers zijn begonnen te speculeren over verschillende beveiligingsproblemen. Het belangrijkste probleem dat naar voren is gebracht, is de mogelijke aanwezigheid van een zogenaamde "backdoor", een functie van de firmware die toegang tot de recovery phrase mogelijk maakt.
Het punt is dat als iemand er op de een of andere manier in slaagt om je Ledger Nano te hacken, dat ze met die backdoor de recovery phrase kunnen achterhalen en al je tokens kunnen stelen.
Recovery phrase in drie delen verstuurd naar externe partijen
En ook, als de firmware jouw recovery seed in drie delen kan breken, versleutelen en verzenden, dan moet de firmware dus op een of andere manier toegang hebben tot jouw 20 woorden. En als het toegang heeft tot je recovery phrase, dan betekent dit dat een hacker deze misschien ook kan vinden. Veel mensen vragen zich dus af of de opslag van de drie delen van jouw recovery phrase op externe plekken wel altijd goed zal gebeuren.
Complottheorie?
En sterker nog: sommige mensen gaan misschien wel heel ver en veronderstellen zelfs dat de drie bedrijven waarnaar jouw verschillende seed-segmenten worden gestuurd (Ledger, Coincover en EscrowTech), in de toekomst zouden kunnen besluiten om deze delen van de recovery phrases van gebruikers te bundelen om vervolgens massaal hun geld te stelen.
De risico's van het inschakelen van Ledger Recover
Het probleem van de nieuwe functionaliteit ‘Ledger Recover’ is dus dat deze jouw recovery phrase naar derde partijen stuurt, opgesplitst in drie gecodeerde fragmenten, maar toch. In principe betekent dat een extra mogelijkheid dat jouw recovery phrase in handen komt van mensen voor wie deze niet bedoeld is.
Wat doen als je nu een Ledger Nano X hebt?
Het is geen prettige gedachte dat jouw recovery phrase naar derde partijen wordt verstuurd. Ik kan me dan ook voorstellen dat je de Ledger Recover-functie helemaal niet wilt hebben.
Bekijk ook de video van Corné over de problemen rondom de Ledger nano X
‘Ledger Recover’ is optioneel
Het goede nieuws is dat Ledger Recover een optionele functie is, die niet automatisch wordt geactiveerd, zelfs niet door de Nano X-firmware-update te installeren. Het is dus een optie die je aan kunt vinken.
Je zou er ook voor kunnen kiezen om geen firmware-updates te doen, maar dat raad ik niet aan, omdat een verouderde firmware kwetsbaarheden kan bevatten.
Ledger stelt update uit (voorlopig)
Alle onrust heeft er inmiddels voor gezorgd dat de nieuwe functie voor de Nano X hardware wallets van Ledger is uitgesteld. Van uitstel komt overigens geen afstel, want Ledger geeft aan dat ze als reactie op de onrust meer delen van de Ledger software open source gaan maken.
Is de Ledger Nano S wel veilig?
Het is goed om te weten dat Ledger Recovery alleen beschikbaar is voor de Ledger Nano X. Met een Ledger Nano S zit je sowieso veilig, omdat de functionaliteit voorlopig nog niet voor deze hardware wallet beschikbaar komt. In de toekomst waarschijnlijk trouwens ook niet, want de chipset van de Ledger Nano S heeft simpelweg niet voldoende ruimte voor de nieuwe firmware.
De Ledger Nano S heeft geen ruimte voor de Ledger Recover-functie, wat in dit verhaal een voordeel is.
Wat is het beste Ledger alternatief?
Ten eerste is het goed om te weten dat de Ledger Recovery-service optioneel is. Je kunt hem bij een firmware update niet per ongeluk aanzetten, want het is een betaalde dienst voor 9,99 dollar per maand. Aan de andere kant weten we niet wat er op de achtergrond gebeurt, omdat de software van Ledger niet open source is. Het is dus de vraag hoeveel vertrouwen je hebt in het bedrijf Ledger dat ze jouw private keys toch niet ergens opslaan.
Voorlopig ben ik van mening dat het gebruik van de Ledger Nano X veilig is. Zelfs als je ervoor zou kiezen om de Ledger Recovery-dienst te gaan gebruiken lijkt me de kans zeer klein dat Ledger het vertrouwen in hun bedrijf zou willen schaden. Ook is de kans wel heel klein dat een hacker drie verschillende versleutelde delen van jouw recovery seed kan herstellen.
Ellipal Titan
Desondanks kan ik me heel goed voorstellen dat je door de onrust toch wat onzeker bent geworden over Ledger en vooral de Ledger Nano X. Zelf heb ik twee stuks van de Ledger Nano S die ik al jaren gebruik en daarnaast een Ellipal, waar nog veel meer coins op kunnen staan en die eruitziet als een smartphone. Benieuwd? Lees er meer over in mijn Ellipal Titan review.
QR-codes
De Ellipal Titan is een hardware wallet, net zoals de bekende Ledger Nano S en X, en de Trezor. De Ellipal Titan gaat nu een stap verder in veiligheid. De Ellipal Titan Wallet heeft een fraudebestendig ontwerp en gebruikt QR-codes om het apparaat volledig los te koppelen van internet of een ander verbindingspunt zoals de USB-kabel of bluetoothverbinding bij de Ledger Nano X. ELLIPAL was het eerste bedrijf dat via QR-codes werkt, om ervoor te zorgen dat je portemonnee volledig offline blijft, zelfs tijdens transacties.
Voelt als een smartphone
De cold storage wallets van ELLIPAL zien eruit en werken meer als een smartphone dan traditionele hardware-wallets. Omdat de bijbehorende app op je smartphone staat, is de navigatie en app heel gemakkelijk en voelt het vertrouwd. Zelfs het gebruik van de ELLIPAL Titan voelt aan en gebruik je als een smartphone.
Bovendien maakt de Ellipal Titan het met een overzichtelijk kleurenscherm in combinatie met de Ellipal-app veel gemakkelijker om hem te gebruiken. En dat neemt meteen de grootste barrière weg. Met een groot kleuren touchscreen bekijk je jouw coins en eventueel ook NFT's, kun je crypto wisselen, versturen en ontvangen. Allemaal rechtstreeks op de gesynchroniseerde mobiele app.
Je koopt de Ellipal Titan via de knop hieronder.