Ledger新推出的Ledger Recover為什麼被罵了

作者:區塊律動BlockBeats

5 月16 日,硬件錢包製造商Ledger 發布了其版本更新,本次更新引入了一項名為「Ledger Recover」的服務。據悉,Ledger Recover 是一種基於ID 的「可訂閱式」密鑰恢復服務,可為用戶的私鑰恢復助記詞提供備份。目前Ledger Recover 與Ledger Nano X 兼容,可在運行最新Ledger Live 版本的Android 和iOS 上使用。現可訂閱該服務的用戶需持有包括持有歐盟、英國、加拿大或美國簽發的護照/ID。未來一段時間,該用戶訂閱範圍將覆蓋更多國家。

而Ledger 也解釋了該服務的具體情況,該功能將錢包助記詞(密鑰)分成三個部分(加密分片技術),並將分發給三個託管人:Ledger、加密貨幣託管公司Coincover 和代碼託管公司EscrowTech。如果有人丟失了密鑰,三個分片中的兩個可以結合起來——等待身份檢查——以重新獲得對鎖定資金的訪問權。訂閱該服務的價格是每月9.99 美元。

首先為大家普及一下硬件錢包一般是將私鑰存儲在安全的硬件設備中,與網絡計算機等環境隔離起來,私鑰不外漏,即插即用,而Ledger 的舉動徹底打破了我們對傳統硬件錢包的認知。

用戶的反對

關於該服務的信息發布後,引發了大批用戶的反對和抵制,BlockBeats 總結了用戶反對該服務的一些觀點:

-作為硬件錢包,密鑰不離開錢包是基礎,而Ledger 的新服務顯然讓很多可以自己保管密鑰的用戶接受不了,且訂閱服務後,需要將你的密鑰、個人身份全部都託管給其他機構,這些機構一旦出現問題(黑客攻擊、信息被盜),託管的信息大概率不會完好無損;

-訂閱該服務需要國家的護照和ID 驗證,任何受「身份驗證」保護的東西本質上都是不安全的,身份太容易造假了,且需要通過身份驗證才可以確認用戶密鑰重建的請求,現今身份驗證造假、被盜這些太稀疏平常,所以這不是一種安全的途徑;

-該服務會將密鑰分成三部分,這沒什麼問題,但問題是該服務將用戶加密密鑰的三部分發送到三個實體公司,他們完全可以重建用戶密鑰。在數學概率上講,託管的第三方機構越多,出問題的概率就會指數般增長;

-大多數Ledger 用戶使用Ledger Live,該應用會使用Ledger 節點進行所有錢包同步,揭示用戶加密活動的每個細節,你的資產和交易細節暴露在第三方,加上訂閱服務後你的密鑰和身份也在第三方託管,如此下去你的加密貨幣還是自己的嗎?

-我們不能確定Ledger 是否內置了安全措施來防止有人將密鑰三部分全部發送給一個實體,也不能確定他們以何種途徑分發給三個實體,所以更不清楚的是恢復過程中的解密過程實際上是如何進行的;

-理論上,我知道你使用了Ledger Recover 並獲得了身份信息,以現在的技術手段通過身份驗證並不難,你的加密資產也可以屬於別人;

-宏觀上看,需要考慮監管條件,EscrowTech 和Ledger 是美國公司,Coincover 是英國公司,這些機構處於英美管轄範圍之內,而美英對加密的監管一直是個問題,政府很容易上門索取所有持有人的身份信息,然後隨意扣押資金。

Ledger Recover 後更深層的思考

有趣的是,在Ledger 剛發該服務的信息後,刪除了一條內容。該內容意思是「Ledger 和我們信任的第三方無法訪問用戶密鑰」。雖然後來Ledger 解釋了該條內容措辭不准,但這個解釋多少有點牽強。

圖源推特

結合用戶反饋,一個引人深思的問題浮現,該服務背後是追求用戶訂閱後的盈利,還是有某些監管機構強行要求Ledger 這麼做,如果是監管機構要求之下推出的功能,那麼他們可以很容易獲得用戶KYC 和數據並收回用戶資產,這是非常可怕的一點。

還有一點是,該密鑰三部分的使用和恢復都要在Ledger 官網做驗證(Email、身份信息、Onfido KYC),這家名為Onfido 的公司處理KYC 流程需要用戶上傳/驗證身份時,他們還會保留用戶ID、自拍視頻中的圖片/視頻/聲音,以及設備和當前活動的整體圖片。 Onfido 全面了解用戶身份以及你是Ledger 用戶的事實,因此當你持有相當大量的加密貨幣,他們還全面了解你用於身份驗證的設備,上文也提到,聲音/圖片/視頻這些並不是不可仿製的。

這真的安全嗎?

市面上其他硬件錢包

所以Ledger 該服務徹底打破了傳統的硬件錢包機制,且間接出現了很多漏洞,其實硬件錢包的難題並不是突出起來的,此前硬件錢包巨頭Trezor 就出現過幾分鐘通過物理方法破解密鑰的消息。所以市面上還有哪些硬件錢包可用呢? BlockBeats 整理了一些現今評價較好的硬件錢包如下:

OneKey

OneKey 完全是一個完全開源的硬件錢包,它的內部系統的源代碼大家都可以在GitHub 上面找到,不存在後門的問題。且OneKey 硬件錢包的使用體驗是非常不錯,外形一張銀行卡一樣大小,價格不是特別貴,可以輕鬆地放到錢包裡。

Keystone

Keystone 是一款基於二維碼進行數據傳輸,可以實現助記詞和私鑰永不觸網的硬件錢包,對於硬件錢包來說,很容易會受到攻擊,但Keystone 設計了多層自毀機制,來防止設備受到攻擊,也就是說設備檢測到有人在拆卸它時,自毀機制會將你的私鑰信息和其他敏感信息立即清理掉,因此攻擊者就無法獲取用戶的敏感信息,Keystone 與MetaMask(擴展和移動版)以及其他頂級軟件錢包如Solflare、Sender、Fewcha 等集成。

結語

當然,也有一些積極觀點,該服務並不是強制更新的,用戶具自主選擇性,所以你可以繼續使用你的Ledger,還有觀點表示,加密資產被盜太常見了,丟失密鑰的概率遠遠超過密鑰被盜竊的概率,而且每個月只需要9.99 美元,何樂而不為。選擇繼續使用還是轉戰其他硬件錢包,這取決於你自己。

Total
0
Shares
Related Posts