2Mon.·

Warum ich meine Ledger Hardware Wallet ersetzt habe


Auf getquin wird immer wieder nach Empfehlungen für eine Hardware Wallet (HW) gefragt. Dabei ist Ledger sehr beliebt. Da ich die HWs von Ledger nicht empfehle, muss ich ständig das Gleiche schreiben. Ich verfasse deshalb diesen Beitrag, um mich nicht ständig wiederholen zu müssen.


Was ist das Wichtigste an einer HW?

Vertrauen. Vertrauen, dass die HW eure Private Keys sicher speichert.


Warum Vertrauen? Weil es ein Ding der Unmöglichkeit ist, die Sicherheit einer HW zu verifizieren. Sämtliche Software und Hardware müsste Open Source sein. Ihr müsstet sämtliche Hardware und Software auf Sicherheitslücken prüfen. Und dann müsstet ihr noch prüfen, ob ihr auch tatsächlich genau die von euch geprüfte Version von Hardware und Software ausgeliefert bekommen habt. Das wiederholt ihr bei jedem Update.


Das kann und macht niemand. Es gibt deshalb Unternehmen, die Hardware Wallets unabhängig überprüfen. Wo ist der Haken? Genau, ihr müsst wiederum diesen Unternehmen vertrauen.


Warum Ledger kein vertrauenswürdiges Unternehmen ist

Weil Ledger seine Kunden immer wieder angelogen hat und Dinge verheimlicht, bis sie sich nicht mehr verheimlichen lassen.


So wurden 2020 sämtliche Kundendaten geleakt. Ledger hat alles abgestritten und geleugnet (oder sie wussten es selbst nicht, hatten keine Kontrolle über ihre Daten und das ist nicht unbedingt besser), bis es nicht mehr zu leugnen war. Siehe [1]. Das war kein Angriff auf die HW, sagt aber so einiges über die Firmenkultur.


2023 veröffentlicht Ledger ihr Recover Feature mit dem es möglich wurde, den Seed an Dritte zu exportieren [2]. Ledger versuchte zu beschwichtigen, da man das Feature ja nicht nutzen müsse. Das Problem liegt aber an ganz andere Stelle:

  • Ledger konnte über ein Firmware Update eine Funktion einführen, die den Export des Seeds und damit den Zugriff auf alle gespeicherten Krypto Assets ermöglicht. Damit kann das prinzipiell eine Schadsoftware auch. [3]
  • Ledger behauptete in einem früheren Tweet, dass eben genau das nicht möglich sei und hat somit wieder seine Kunden angelogen (oder hat schlicht keine Ahnung vom eigenen Produkt). [4]
  • Ledger hat bestätigt, verschlüsselte Keys von Kriminellen an Regierungen auszuhändigen. Unabhängig und vom Eingriff zentraler Institute geschützt ist man damit nicht mehr. [5]


attachment


Warum ist Ledger sonst noch scheiße?


Um die Sicherheit einer HW zumindest theoretisch überprüfen zu können (und wenn schon nicht selbst, zumindest durch unabhängige Dritte, die nicht von Ledger beauftragt wurden), ist 100% Open Source notwendig. Laut eigenen Angaben ist Ledger nur zu 95% Open Source [6]


Ledger unterstützt viel zu viele Coins mit zu vielen Features. Das ist aus folgenden Gründen problematisch:

  • Support von vielen Coins mit vielen Features benötigt viel Code. Viel Code birgt viel Potential für Fehler und Angriffe
  • Durch den großen Funktionsumfang werden häufige Updates ausgerollt. Jedes davon kann eine potentielle neue Sicherheitslücke auf die HW bringen
  • Support für Coins kommt und geht. Vor einigen Jahren wurde bspw. der Support für einen meiner Shitcoins eingestellt. Davon habe ich nichts mitbekommen. Die Coins waren verloren. Zudem werden die Apps für einige Coins von Dritten und nicht von Ledger selbst bereitgestellt - ein weiteres Sicherheitsrisiko


Und jetzt? Was empfiehlst du? Was nutzt du?

Ich empfehle keine konkrete HW. Stattdessen empfehle ich, dass sich jeder, der seine eigene Bank sein möchte, mit den verschiedenen Formen der Aufbewahrung und den unterschiedlichen HW Herstellen beschäftigt. Siehe auch [7]


Ich selbst nutze noch einen alten Ledger Nano S. Dieser ist zu alt für das Recover Update. In diesem Fall ist das ein tolles Feature. Zusätzlich nutze ich eine Bitbox02 in der Bitcoin Only Variante


Quellen

[1] https://www.blocktrainer.de/blog/ledger-leak-infos

[2] https://www.blocktrainer.de/blog/ledger-recover-fail

[3] https://www.blocktrainer.de/blog/wie-funktioniert-das-neue-ledger-recover-feature

[4] https://www.reddit.com/r/ledgerwallet/s/YWhjiS99g3

[5] https://www.btc-echo.de/news/ledger-die-aufregung-um-recovery-ist-richtig-und-uebertrieben-165042/

[6] https://www.ledger.com/blog-ledger-is-95-opensource-why-not-100

[7] https://getqu.in/GZNTx2/

23
28 Kommentare

Profilbild
Ich bleibe bei meinen Aktien.
Schön an den Unternehmen beteiligen.
Das mit den ganzen Coins ist mir irgendwie zu kompliziert.
Irgendwie überall Gefahren die lauern und Jagd auf Coins nehmen
Und Wallet und Codes und Lücken hier und Lücken dort.
Da raucht mir ja nur noch der Kopf, wer soll den da noch ruhig schlafen können.
Und durchblicken tue ich da immer noch nicht, aber ich werde es weiter verfolgen.
9
Antwort anzeigen
Profilbild
2Mon.
Auch mit ein Grund mich von meinen Bitcoin zu trennen. Einfach alles zu kompliziert. Hab damals für ca. 100€ nen Ledger Nano X gekauft. Inzwischen liegen die restlichen Sats bei Bison und warten auf das Ende der 1 jährigen Haltefrist.
3
Alle 2 weiteren Antworten anzeigen
Profilbild
@DonkeyInvestor Ich hab auch noch nen NanoS. Hast du dann beim Kauf der bitbox ne neue Adresse angelegt oder mit der Seed des Nanos auf die gleiche Adresse wiederhergestellt?
Alle 9 weiteren Antworten anzeigen
Profilbild
Aber ich mag Euch Plebs ziemlich.
Was sind Eure Träume und Illusionen?
Alle 10 weiteren Antworten anzeigen
Gelöschter Nutzer
1Wo.
Kommentar wurde gelöscht
Antwort anzeigen
Werde Teil der Community