เมื่อวันที่ 18 พฤษภาคม Ledger ผู้ให้บริการกระเป๋าเงินคริปโต ออกมาชี้แจงว่าเฟิร์มแวร์ทำงานอย่างไรหลังจากทวีตที่ทำให้เกิดดราม่าเมื่อวันที่ 17 พฤษภาคมถูกลบไปโดยบริษัท ซึ่งทวีตที่ถูกลบนั้น Ledger มีการกล่าวโดยตัวแทนฝ่ายสนับสนุนลูกค้า โดยระบุว่า “เป็นไปได้” ที่ Ledger จะเขียนเฟิร์มแวร์ที่สามารถดึง Private keys ของผู้ใช้ออกมาได้
[1/3] You may have seen a tweet from our Ledger Support account being shared regarding Ledger firmware updates.
— Ledger Support (@Ledger_Support) May 18, 2023
Unfortunately, in our attempt to clarify how Ledger and all wallets work with the firmware, a customer support agent posted a tweet with confusing wording. https://t.co/cL6UrBzxWr
Charles Guillemet หัวหน้าเจ้าหน้าที่ Ledger ชี้แจงในหัวข้อ Twitter ใหม่ว่า ระบบปฏิบัติการของกระเป๋าเงิน (OS) ต้องได้รับความยินยอมจากผู้ใช้ทุกเมื่อมีการเกี่ยวข้องกับ private key” กล่าวอีกนัยหนึ่งคือ OS ไม่อาจคัดลอก private key ของอุปกรณ์ได้เองโดยไม่ได้รับความยินยอมจากผู้ใช้
แต่ทางด้านทวีตต้นฉบับจากฝ่ายบริการลูกค้าของ Ledger ระบุว่า “ในทางเทคนิคแล้ว มีความเป็นไปได้เสมอที่จะเขียนเฟิร์มแวร์ที่อำนวยความสะดวกในการดึง private key”

และทวีตดังกล่าวนี้เอง ก็จุดประกายให้เกิดความขัดแย้งขึ้นบน Twitter เนื่องจากผู้ใช้หลายคนกล่าวหาว่าบริษัทบิดเบือนความปลอดภัยของกระเป๋าเงิน โดยนักวิจารณ์ระบุว่า “การอัปเดตเฟิร์มแวร์ไม่สามารถแยก private keys ออกจาก Secure Element ได้” หมายความว่าบริษัทมีความขัดแย้งในตัวเอง
แม้ว่าทวีตที่ถูกลบจะจุดชนวนให้เกิดความขัดแย้ง แต่ประเด็นนี้เริ่มขึ้นเมื่อวันที่ 16 พฤษภาคม เมื่อบริษัทเปิดตัวบริการ “Ledger Recover” ใหม่ ที่ช่วยให้ผู้ใช้สามารถสำรอง secret recovery phrase โดยแยกออกเป็นสามส่วนและส่งไปยังผู้ดูแลข้อมูลภายนอกที่แตกต่างกัน
Nov 2022: A firmware update cannot extract the private keys from the Secure Element — Ledger
— olimpio (@OlimpioCrypto) May 17, 2023
May 2023: Technically speaking it is and always has been possible to write firmware that facilitates key extraction — Ledger@Ledger, do you now understand the problem? pic.twitter.com/czG53SuCOu
Guillemet ระบุว่า เฟิร์มแวร์หรือ OS ของกระเป๋าเงินนั้นเป็น “แพลตฟอร์มแบบเปิด” ในแง่ที่ว่า “ใคร ๆ ก็สามารถเขียนแอพของตัวเองและโหลดลงในอุปกรณ์ได้” ซึ่งก่อนได้รับอนุญาตในซอฟต์แวร์ Ledger Manager แอปจะได้รับการประเมินก่อนโดยทีมงานเพื่อให้แน่ใจว่าแอปเหล่านั้นไม่ได้เป็นอันตรายและไม่มีข้อบกพร่องด้านความปลอดภัย
นอกจากนี้ ทุกครั้งที่แอปใช้ private key นั้น Ledger กล่าวว่าระบบปฏิบัติการกำหนดให้ผู้ใช้ต้องยืนยันความยินยอมในการใช้ ซึ่งสิ่งนี้ดูเหมือนจะบอกเป็นนัยว่าแอปของบุคคลที่สามที่ติดตั้งใน Ledger ไม่ควรใช้ private key ของบุคคลโดยที่ผู้ใช้ไม่ยินยอม