Veilige crypto wallet: Ledger versus Trezor

Onlangs was er heel wat controverse rondom Ledger, de fabrikant van de bekendste crypto hardware wallet. Ledger wilde een nieuwe update invoeren, genaamd Key Recover functie. Eindstand betekent dat de overheid hierdoor toegang zou kunnen krijgen tot je cryptovaluta, zo bevestigde Ledger’s CEO. Een goed alternatief zien we in Trezor, maar Trezor kan uit de crypto gemeenschap ook op heel wat kritiek rekenen. In dit artikel leggen we de kwetsbaarheden van beide opties naast elkaar. Ook delen we een nieuwe wallet optie.

Een goede hardware wallet is enorm belangrijk in crypto, omdat het de veiligste manier is om je crypto vermogen op te slaan. Toch zijn hardware wallets niet altijd perfect. Het is belangrijk om hiervan op de hoogte te zijn als je ze gebruikt of gaat gebruiken.

Wat we belangrijk vinden aan een hardware wallet:

Een hardware wallet hoeft niet veel te hebben, als het maar:

• Een breed scala aan cryptomunten ondersteunt.
• Te gebruiken is in combinatie met Metamask (zodat we een passief inkomen kunnen maken met ons vermogen).
• De softwarecode is het liefst openbaar, zodat precies te controleren is waar toe de wallet wel en niet in staat is.
• Het moet natuurlijk lekker in de hand liggen en betaalbaar zijn.
• En het belangrijkste, het moet je privé sleutel (private key) goed beveiligen. Deze sleutel zit opgeslagen in je wallet en geeft je toegang tot je crypto activa die op de blockchain staan.

Een Ledger wallet scoorde op alle punten voldoende, behalve dat de softarecode niet openbaar is. Na de recente controverse zal het de softwarecode wel openbaren, maar kunnen we bij het beveiligen van de privé sleutel onze vraagtekens zetten.

Trezor scoort op alle punten voldoende, hoewel het geen 10 scoort op de beveiliging van je sleutel.

Ondanks de ontwikkelingen, blijft onze favoriete crypto wallet voorlopig hetzelfde.

Het probleem bij Ledger

Ledger stond op het punt om de zogenoemde Key Recovery update in te voeren. Na veel kritiek uit de crypto gemeenschap, is dat op pauze gezet. Maar waarschijnlijk dat de Key Recovery update op een later tijdstip wel wordt ingevoerd, want Ledger verdedigde de update wel.

De update maakt het mogelijk dat je private key (de sleutel waarmee je toegang hebt tot al je crypto bezittingen) wordt opgedeeld in meerdere stukken om vervolgens verstuurd te worden naar verschillende derde partijen. Indien je als gebruiker de toegang tot je hardware wallet verliest, ben je middels ID-verificatie altijd nog in staat om toegang te krijgen tot je privay key, en dus je crypto vermogen.

Volgens Ledger is dit een nodige stap voor massa-adoptie van wallets. Het bedrijf helpt bij de backup van je wallet, zodat vervelende situaties worden voorkomen en meer mensen voor een hardware wallet kiezen.

Maar velen in de crypto gemeenschap maken zich ook zorgen, omdat het tegen het principe ingaat dat je private key nooit je hardware wallet verlaat. Het is zelfs een principe dat Ledger ooit heeft geïntroduceerd.

Nu biedt de Key Recovery upgrade voor overheden een achterdeur om toegang te krijgen tot je privé sleutels. Ledger’s CEO gaf dat zelfs toe. Overheden moeten dan wel een juridische reden hebben om privé sleutels op te vragen.

Maar iedereen die de geschiedenis kent, weet dat Amerikanen in 1933 verplicht hun goud moesten afstaan aan de overheid, tegen 20,36 dollar per ounce. Het is mogelijk dat dit in de toekomst weer gebeurt. Dan zal iedereen bij Ledger zonder Bitcoin en/of andere crypto zitten.

Natuurlijk zal je als Ledger bezitter zelf eerst de update moeten accepteren. Je bent daarom niet per se vatbaar, maar je moet dan toekomstige updates negeren. Nu is een device dat je niet kan upgraden, ook niet geheel veilig en bovendien niet praktisch.

Het probleem bij Trezor

Bij Trezor weten we dat de wallet geen achterdeur heeft voor de overheid, omdat de softwarecode helemaal openbaar is voor iedereen. Dat kan je zien via Github.

Het is alleen wel bekend dat Trezor op een bepaalde manier te kraken is en dat is de reden dat velen uit de crypto gemeenschap de wallet niet willen. De crypto broker Kraken vond bijvoorbeeld een manier om de seed phrase uit een Trezor wallet te ontfutselen.

Gelukkig voor alle Trezor bezitters, moet een hacker alleen fysieke toegang hebben tot je hardware wallet, wil het in staat zijn om je privé sleutels te ontfutselen. Dus stel je vindt een Trezor wallet op straat, dan ben je in staat de privé sleutel te achterhalen, mits je de technische kennis hebt. Iets wat bij een Ledger niet mogelijk zou zijn.

Conclusie

Het exporteren van privésleutels (in delen) naar derde partijen vind ik een veel groter risico dan het fysiek kunnen hacken van je hardware wallet. Crypto hacks gebeuren immers altijd online en niet fysiek. Het fysieke aspect vind ik veel minder belangrijk. Natuurlijk zijn er wel kwetsbaarheden, maar daar kun je je makkelijk tegen wapenen. Lees ze hier.

Het risico dat een overheid toegang heeft tot je crypto activa is iets waar je serieus over na moet denken. Natuurlijk moet er straks een juridische basis zijn om toegang te krijgen tot je privésleutels op je Ledger, maar de overheid is ook degene die deze juridische basis kan veranderen. Zie 1933 in de VS.

Een Ledger vinden we daarom zo’n substantieel risico dragen, dat we die van ons niet meer gebruiken. Onze Trezor blijven we gewoon gebruiken. Het geeft ons immers de online veiligheid en werkbaarheid die we wensen voor ons crypto vermogen.

Nu kwamen we alleen ook een interessant alternatief voor Ledger tegen…

Nieuw alternatief: Keystone wallet

Een alternatief voor Ledger vinden we in de Keystone wallet. Deze wallet heeft alles waar we naar zoeken:

• Ondersteunt 5.500 crypto’s.
• Is te gebruiken met Metamask en Kepler (voor Cosmos).
• De broncode is openbaar.
• Werkt met touchscreen en kost 95 dollar.
• Het kent geen kwetsbaarheden m.b.t. de privésleutels.

Kortom, een prima vervanger voor onze Ledger. Je kan een Keystone hier verkrijgen.

Dit artikel is geen beleggingsadvies. Het is geen gepersonaliseerde aanbeveling. Het bevat algemene informatie, op basis waarvan u (op eigen verantwoordelijkheid en voor eigen rekening en risico) beslissingen kunt nemen. BeursBrink raadt u aan om zelf advies in te winnen bij derden.

Tenzij anders vermeld, zullen wij dit artikel niet actualiseren. Het kan dus goed zijn dat de inhoud van dit artikel bij latere lezing is achterhaald door de actualiteiten en de ontwikkelingen. Het kan ook zijn dat met een bepaald aspect in het artikel geen rekening is gehouden. Hoewel BeursBrink zorgvuldigheid betracht, kan het ook voorkomen dat er onvolkomenheden in het artikel staan.

U bent zelf verantwoordelijk voor uw beleggingsbeslissing(en).

Aan het rapport en de inhoud ervan kunnen ook geen rechten worden ontleend. Het artikel is gebaseerd op aannames en vormt geen enkele garantie voor een bepaalde ontwikkeling of resultaat. BeursBrink is nooit aansprakelijk voor gebruik van dit artikel of de daarin opgenomen informatie.

Beleggen brengt grote risico’s en kosten met zich mee. U kunt uw inleg of een deel ervan verliezen. De waarde van uw belegging kan fluctueren. In zijn algemeenheid wijst BeursBrink erop dat het niet verstandig is om te beleggen met geld wat u nodig heeft om te kunnen voorzien in uw dagelijkse voorzieningen. In het verleden behaalde resultaten bieden voorts geen garantie voor de toekomst.

BeursBrink is niet verantwoordelijk voor de inhoud en/of juistheid van teksten, afbeeldingen of hyperlinks die door derden worden geplaatst in het artikel. Evenmin is BeursBrink verantwoordelijk voor informatie en/of berichten die door gebruikers van het artikel via internet verzonden worden.