Kripto cüzdan sağlayıcısı Ledger yeni hayata geçirdiği “Ledger Recover” özelliği nedeniyle eleştiri almaya devam ediyor. Twitter üzerinde paylaşılan bazı postlarda bu hizmetin Ledger’ın mahremiyete ve güvenliğe dair taahhütleriyle uyuşmadığı iddia ediliyor. 

Ledger CEO’su Pascal Gauthier, Twitter Space’deki bir oturumda sundukları bu yeni hizmeti savundu.

Gauthier, “Müşterilerin bunu istemediğini söylüyorsunuz. Ancak gelecekteki müşteriler tam olarak bunu isteyecekler. Önümüzdeki birkaç yüz milyon kişinin kriptoya girmesi için yol budur” diyordu.

Bu olay son dönemde sık sık gördüğümüz ve yeni kullanıcıları çekmenin yollarını arayan blok zinciri temelli şirketler ile kripto topluluğunda ideolojik bakış açısının hâkim olduğu grupların karşı karşıya geldiği durumlarda bir örnek teşkil ediyor. Kullanıcı deneyimi ile kripto ideallerini her zaman uyuşturmak mümkün olmayabiliyor.

Ledger Recover hizmeti

Ledger, Paris merkezli olan ve donanım temelli kripto cüzdanları yani bir kişinin kriptoları ile bir USB cihazı birbirine entegre eden “soğuk cüzdanları” üreten bir şirket. Sürekli internete bağlı olan MetaMask benzeri yazılım temelli “sıcak cüzdanlar” veya Coinbase veya Binance gibi müşterinin adına kriptolarını tutan borsalarla kıyaslandığında soğuk cüzdanlar kriptoyu tutmanın ve saklamanın daha güvenli bir yolu olarak görülüyorlar. 

Bir kişi bir cüzdan oluşturduğunda kendisine “seed phrase / kurtarma ifadesi” denilen ve rastgele kelimelerden oluşan bir şifre veriliyor ve bu şifre gizli bir cüzdan kurtarma anahtarı gibi işlev görüyor. Kullanıcılardan bu şifreyi bir yere yazmaları ve saklamaları isteniyor.

Ancak kurtarma ifadesi sisteminin kullanıcı deneyimi açısından bazı sıkıntıları söz konusu. Kişi elindeki kelime grubundan oluşan şifreyi kaybederse parasını almak için hiçbir şansı kalmıyor. Ayrıca bu şifre cüzdanı kurtarmanın yanı sıra yanlış ellere geçtiğinde cüzdanı ele geçirmek için de kullanılabiliyor. 

Ledger, Salı günü yaptığı açıklamada Nano X cüzdanının kullanıcılarına ayda 9.99 dolarlık bir üyelik ücreti karşılığında kurtarma ifadesi kurtarma hizmeti vermeye başladığını duyurdu. Ledger Recover isimli bu hizmet insanlara şifrelerini kaybetme korkusu olmadan koruma şansı tanıyor.

Ledger web sitesindeki açıklamada, “Ledger Recover’a üye olduğunuzda özel anahtarınızın ön BIP39 versiyonu şifrelenir, çoğaltılır ve üç parçaya ayrılır. Her bir parça başka bir şirkette güvence altına alınır. Bu şirketler Ledger, Coinbase ve bağımsız bir yedekleme hizmet sağlayıcısıdır. Bu şifrelenmiş parçaların her biri kendi başına bir işe yaramaz. Cüzdanınıza erişim sağladığınızda bu üç şirketin ikisi parçaları Ledger cihazınıza geri gönderir ve böylelikle özel anahtarınız oluşturulur” diyor. 

Topluluğun tepkisi

Kripto Twitter’ın bir bölümü bu habere oldukça sert bir tepki gösterdi. Bu kişiler şifrelenmiş olsa dahi anahtarın üç parçaya ayrılmasını kırılganlık oluşturacağını ve böylelikle de donanım cüzdanların ana amacı olan güvenlikte sıkıntı oluşabileceğini vurguluyorlardı.

Ayrıca Ledger Recover’a üye olmak isteyenlerin devlet tarafından verilmiş resmi bir kimlik belgesi ibraz etmek durumunda olmaları da kullanıcıları rahatsız etmiş görünüyor. Bazılarına göre kripto dünyasında bu tür bir uygulama mahremiyete ters.  

Twitter’de geniş bir takipçisi olan bitcoin (BTC) yatırımcısı Alistair Milne, “Elbette ki Ledger’ın yeni Recover hizmetini *kullanabilirsiniz* ve onlara hem özel anahtarınızı hem de kimlik ve diğer kişisel bilgilerinizi verebilirsiniz. Peki o zaman donanım cüzdanına ne gerek var?” diyor.

Bazı eleştirel kişiler de bu olayı Ledger’ın güvenlik konusundaki karnesini hatırlatmak için bir fırsat olarak kullanmaktan çekinmiyorlar. Şirket 2020 yılında yaklaşık 10 bin müşterisinin e-posta bilgilerinin sızdırıldığı bir saldırıya kurban gitmişti. Bu saldırıda herhangi bir cüzdan ele geçirilmemiş olsa da teknolojik kafadaki kullanıcı tabanında şirketin güvenlik yaklaşımı ve uygulamaları konusunda soru işaretleri oluşmasına neden olmuştu. 

Kripto altyapı şirketi Chainlink’in topluluk liderlerinden biri olan ChainLinkGod.eth paylaştığı twitte, “Yüz binlerce müşterisinin bilgilerinin açığa çıkmasına neden olan birden çok güvenlik sıkıntısı yaşayan Ledger şimdi de sizden özel anahtarınızı istiyor ve bunu üçe bölerek istediği anda paranızı çekebilecek iki şirkete teslim ediyor. Kurtarma işlemini gerçekleştirmek için kendinizi ifşa etmenizi ve onlara daha fazla kişisel bilgi vermenizi bekliyorlar. Çok da mantıklı gelmiyor değil mi?” diyordu. 

Ledger’ın yanıtı

Ledger’ın lider takımı Twitter Space’deki bir yayında güvenlik uygulamalarını savundular ve yeni kurtarma hizmetinin tamamen tercihe bağlı olduğunu söyleyerek bu yeni hizmetin bir “arka kapı” oluşturduğu iddialarını reddettiler.

Ledger kurucu ortağı Nicolas Bacca, “Arka kapı falan yok. Kontrol sizde. Sizin izniniz olmadan cihazda hiçbir şey yapılamaz” diyordu ve ekibin bu hizmetin kodunu açık hale getirmeyi ve böylelikle gelecekteki kullanıcıların Ledger’ın kurtarma hizmetinin verileri nasıl güvenli biçimde şifrelediğinin ve tuttuğunu görmelerini sağlamayı planladıklarını ekliyordu. 

Ledger’ın deneyimden sorumlu üst yöneticisi Ian Rogers, “İnsanların birçoğunda temelsiz korkular oluşabiliyor” diyor ve Ledger’ın kurtarma hizmetinin tamamen tercihe dayalı olduğunu ve üçüncü taraflarla işbirliğinin şeffaf biçimde gerçekleştirildiğini vurguluyordu. “Tüketici olarak önünüzde tercih var. Kime güvendiğinizi bilmeniz gerekli.”

Gauthier, bu kurtarma hizmetinin yeni müşterileri çekmek için önemli olduğunu vurguluyordu: “Üzgünüm ama şifreyi bir kağıda yazmak geçmişte kaldı ve Ledger Recover geleceğe dair bir iş. Güvenlikle ilgili bir sıkıntı söz konusu değil” diyordu.

Gauthier, Ledger’ın güvenlik konusundaki karnesini eleştirenlere de cevap verdi:

“Twitter’da ‘Oh Bu hizmet bir yıla kalmaz hacklenir’ diyenler olduğunu gördüm. OK, hadi bakalım hodri meydan. “Gauthier şirketin piyasada 6 milyon cihazı olduğunu ve bunların hacklenmediğini, ele geçirilmediğini ve bir arka kapı içermediğini yineledi. 

Gauthier, “Ledger hacklenirse şirketin kredibilitesi ve itibarı gider. Bu nedenle böyle bir hataya izin vermeyiz “diyor.