概括:
Ledger 的最新更新被吹捧為“額外的安全網”,遭到了客戶和加密貨幣Twitter 評測員的強烈反對。該公司在社交媒體上的回應讓用戶心存疑慮,並且似乎沒有解決有關私鑰和恢復固件可能發現的新攻擊向量的安全問題。 Ledger Recover 將允許用戶選擇每月訂閱,以使用存儲在三個保管人(其中兩個是第三方)的另一個種子短語來備份他們的種子短語。
加密貨幣推特 滿滿的 反對Ledger 的最新更新,如果客戶選擇選擇每月訂閱託管服務,該更新將支持客戶的種子短語。
Ledger Recover 於5 月16 日宣布,這讓客戶大受打擊,這要歸功於該公司所謂的安全奉獻精神的轉變。固件更新將使錢包用戶可以選擇通過三個保管人備份他們的種子短語,該功能意味著任何用戶丟失私鑰時的保護措施。
Ledger 捍衛恢復訂閱
這家硬件錢包製造商在社區強烈反對後澄清說,發送給保管人的種子短語是作為某種額外的私鑰生成的。發布了一個Twitter 線程來解釋該機制,儘管該帖子似乎提出的問題多於答案。
單獨來看,這些加密的片段是完全沒有用的。當你想恢復你的密鑰時,這些第3 方中的2 個會將他們的片段發回你的Ledger 設備(而不是我們作為一個組織),這將能夠重建你的秘密恢復短語。
-分類帳(@Ledger) 2023 年5 月16 日
Ledger Recover 加密貨幣你的私鑰版本,將其分成三部分,如果客戶選擇訂閱,則將每個部分或分片發送給1/3 的保管人。該功能目前僅適用於該公司的Nano X 錢包。儘管如此,客戶擔心更新可能會將他們的助記詞暴露給除他們自己以外的任何人,這在以前被認為在任何Ledger 設備上都是不可能的。
安全專家和Polygon Labs CISO Mudit Gupta 指出,可以使用2/3 的碎片重建私鑰,這個問題讓錢包用戶面臨新的攻擊向量。
Twitter 上的其他用戶完全拒絕更新,並要求錢包製造商放棄這個想法或發布一個單獨的錢包產品線來實現恢復功能。
此外,他們使用身份驗證來確認你的密鑰構建請求。
身份盜用相對容易且非常普遍。這根本不是一種安全的方法。
—穆迪特·古普塔(@Mudit__Gupta) 2023 年5 月16 日
資訊來源:由0x資訊編譯自ETHEREUMWORLDNEWS。版權歸作者所有,未經許可,不得轉載
