เมื่อวันที่ 18 พฤษภาคม Ledger ผู้ให้บริการกระเป๋าเงินคริปโต ออกมาชี้แจงว่าเฟิร์มแวร์ทำงานอย่างไรหลังจากทวีตที่ทำให้เกิดดราม่าเมื่อวันที่ 17 พฤษภาคมถูกลบไปโดยบริษัท ซึ่งทวีตที่ถูกลบนั้น Ledger มีการกล่าวโดยตัวแทนฝ่ายสนับสนุนลูกค้า โดยระบุว่า “เป็นไปได้” ที่ Ledger จะเขียนเฟิร์มแวร์ที่สามารถดึง Private keys ของผู้ใช้ออกมาได้
Charles Guillemet หัวหน้าเจ้าหน้าที่ Ledger ชี้แจงในหัวข้อ Twitter ใหม่ว่า ระบบปฏิบัติการของกระเป๋าเงิน (OS) ต้องได้รับความยินยอมจากผู้ใช้ทุกเมื่อมีการเกี่ยวข้องกับ private key” กล่าวอีกนัยหนึ่งคือ OS ไม่อาจคัดลอก private key ของอุปกรณ์ได้เองโดยไม่ได้รับความยินยอมจากผู้ใช้
แต่ทางด้านทวีตต้นฉบับจากฝ่ายบริการลูกค้าของ Ledger ระบุว่า “ในทางเทคนิคแล้ว มีความเป็นไปได้เสมอที่จะเขียนเฟิร์มแวร์ที่อำนวยความสะดวกในการดึง private key”
และทวีตดังกล่าวนี้เอง ก็จุดประกายให้เกิดความขัดแย้งขึ้นบน Twitter เนื่องจากผู้ใช้หลายคนกล่าวหาว่าบริษัทบิดเบือนความปลอดภัยของกระเป๋าเงิน โดยนักวิจารณ์ระบุว่า “การอัปเดตเฟิร์มแวร์ไม่สามารถแยก private keys ออกจาก Secure Element ได้” หมายความว่าบริษัทมีความขัดแย้งในตัวเอง
แม้ว่าทวีตที่ถูกลบจะจุดชนวนให้เกิดความขัดแย้ง แต่ประเด็นนี้เริ่มขึ้นเมื่อวันที่ 16 พฤษภาคม เมื่อบริษัทเปิดตัวบริการ “Ledger Recover” ใหม่ ที่ช่วยให้ผู้ใช้สามารถสำรอง secret recovery phrase โดยแยกออกเป็นสามส่วนและส่งไปยังผู้ดูแลข้อมูลภายนอกที่แตกต่างกัน
Guillemet ระบุว่า เฟิร์มแวร์หรือ OS ของกระเป๋าเงินนั้นเป็น “แพลตฟอร์มแบบเปิด” ในแง่ที่ว่า “ใคร ๆ ก็สามารถเขียนแอพของตัวเองและโหลดลงในอุปกรณ์ได้” ซึ่งก่อนได้รับอนุญาตในซอฟต์แวร์ Ledger Manager แอปจะได้รับการประเมินก่อนโดยทีมงานเพื่อให้แน่ใจว่าแอปเหล่านั้นไม่ได้เป็นอันตรายและไม่มีข้อบกพร่องด้านความปลอดภัย
นอกจากนี้ ทุกครั้งที่แอปใช้ private key นั้น Ledger กล่าวว่าระบบปฏิบัติการกำหนดให้ผู้ใช้ต้องยืนยันความยินยอมในการใช้ ซึ่งสิ่งนี้ดูเหมือนจะบอกเป็นนัยว่าแอปของบุคคลที่สามที่ติดตั้งใน Ledger ไม่ควรใช้ private key ของบุคคลโดยที่ผู้ใช้ไม่ยินยอม
