menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

區塊鏈

Ledger新推出的Ledger Recover,為什麼被罵了?

BlockBeats 律動財經 2023-05-17 19:30

cover image of news article
律動財經圖片

5 月 16 日,硬體錢包製造商 Ledger 發布了其版本更新,本次更新引入了一項名為「Ledger Recover」的服務。據悉,Ledger Recover 是一種基於 ID 的「可訂閱式」密鑰恢復服務,可為用戶的私鑰恢復助記詞提供備份。目前 Ledger Recover 與 Ledger Nano X 兼容,可在運行最新 Ledger Live 版本的 Android 和 iOS 上使用。現可訂閱該服務的用戶需持有包括持有歐盟、英國、加拿大或美國簽發的護照/ID。未來一段時間,該用戶訂閱範圍將覆蓋更多國家。

而 Ledger 也解釋了該服務的具體情況,該功能將錢包助記詞(密鑰)分成三個部分(加密分片技術),並將分發給三個託管人:Ledger、加密貨幣託管公司 Coincover 和代碼託管公司 EscrowTech。如果有人丟失了密鑰,三個分片中的兩個可以結合起來——等待身份檢查——以重新獲得對鎖定資金的訪問權。訂閱該服務的價格是每月 9.99 美元。

首先為大家普及一下硬體錢包一般是將私鑰儲存在安全的硬體設備中,與網路計算機等環境隔離起來,私鑰不外漏,即插即用,而 Ledger 的舉動徹底打破了我們對傳統硬體錢包的認知。


用戶的反對

關於該服務的資訊發布後,引發了大批用戶的反對和抵制,BlockBeats 總結了用戶反對該服務的一些觀點:

-作為硬體錢包,密鑰不離開錢包是基礎,而 Ledger 的新服務顯然讓很多可以自己保管密鑰的用戶接受不了,且訂閱服務後,需要將你的密鑰、個人身份全部都託管給其他機構,這些機構一旦出現問題(駭客攻擊、資訊被盜),託管的資訊大機率不會完好無損;

-訂閱該服務需要國家的護照和 ID 驗證,任何受「身份驗證」保護的東西本質上都是不安全的,身份太容易造假了,且需要通過身份驗證才可以確認用戶密鑰重建的請求,現今身份驗證造假、被盜這些太稀疏平常,所以這不是一種安全的途徑;

-該服務會將密鑰分成三部分,這沒什麼問題,但問題是該服務將用戶加密密鑰的三部分發送到三個實體公司,他們完全可以重建用戶密鑰。在數學機率上講,託管的第三方機構越多,出問題的機率就會指數般增長;

-大多數 Ledger 用戶使用 Ledger Live,該應用會使用 Ledger 節點進行所有錢包同步,揭示用戶加密活動的每個細節,你的資產和交易細節暴露在第三方,加上訂閱服務後你的密鑰和身份也在第三方託管,如此下去你的加密貨幣還是自己的嗎?

-我們不能確定 Ledger 是否內置了安全措施來防止有人將密鑰三部分全部發送給一個實體,也不能確定他們以何種途徑分發給三個實體,所以更不清楚的是恢復過程中的解密過程實際上是如何進行的;

-理論上,我知道你使用了 Ledger Recover 並獲得了身份資訊,以現在的技術手段通過身份驗證並不難,你的加密資產也可以屬於別人;

-宏觀上看,需要考慮監管條件,EscrowTech 和 Ledger 是美國公司,Coincover 是英國公司,這些機構處於英美管轄範圍之內,而美英對加密的監管一直是個問題,政府很容易上門索取所有持有人的身份資訊,然後隨意扣押資金。

Ledger Recover 後更深層的思考

有趣的是,在 Ledger 剛發該服務的資訊後,刪除了一條內容。該內容意思是「Ledger 和我們信任的第三方無法訪問用戶密鑰」。雖然後來 Ledger 解釋了該條內容措辭不准,但這個解釋多少有點牽強。

圖源推特

結合用戶反饋,一個引人深思的問題浮現,該服務背後是追求用戶訂閱後的盈利,還是有某些監管機構強行要求 Ledger 這麼做,如果是監管機構要求之下推出的功能,那麼他們可以很容易獲得用戶 KYC 和數據並收回用戶資產,這是非常可怕的一點。

還有一點是,該密鑰三部分的使用和恢復都要在 Ledger 官網做驗證(Email、身份資訊、Onfido KYC),這家名為 Onfido 的公司處理 KYC 流程需要用戶上傳/驗證身份時,他們還會保留用戶 ID、自拍影音中的圖片/影音/聲音,以及設備和當前活動的整體圖片。Onfido 全面了解用戶身份以及你是 Ledger 用戶的事實,因此當你持有相當大量的加密貨幣,他們還全面了解你用於身份驗證的設備,上文也提到,聲音/圖片/影音這些並不是不可仿製的。

這真的安全嗎?

市面上其他硬體錢包

所以 Ledger 該服務徹底打破了傳統的硬體錢包機制,且間接出現了很多漏洞,其實硬體錢包的難題並不是突出起來的,此前硬體錢包巨頭 Trezor 就出現過幾分鐘通過物理方法破解密鑰的消息。所以市面上還有哪些硬體錢包可用呢?BlockBeats 整理了一些現今評價較好的硬體錢包如下:

OneKey

OneKey 完全是一個完全開源的硬體錢包,它的內部系統的源代碼大家都可以在 GitHub 上面找到,不存在後門的問題。且 OneKey 硬體錢包的使用體驗是非常不錯,外形一張銀行卡一樣大小,價格不是特別貴,可以輕鬆地放到錢包里。

Keystone

Keystone 是一款基於二維碼進行數據傳輸,可以實現助記詞和私鑰永不觸網的硬體錢包,對於硬體錢包來說,很容易會受到攻擊,但 Keystone 設計了多層自毀機制,來防止設備受到攻擊,也就是說設備檢測到有人在拆卸它時,自毀機制會將你的私鑰資訊和其他敏感資訊立即清理掉,因此攻擊者就無法獲取用戶的敏感資訊,Keystone 與 MetaMask(擴展和行動版)以及其他頂級軟體錢包如 Solflare、Sender、Fewcha 等集成。

結語

當然,也有一些積極觀點,該服務並不是強制更新的,用戶具自主選擇性,所以你可以繼續使用你的 Ledger,還有觀點表示,加密資產被盜太常見了,丟失密鑰的機率遠遠超過密鑰被盜竊的機率,而且每個月只需要 9.99 美元,何樂而不為。選擇繼續使用還是轉戰其他硬體錢包,這取決於你自己。

歡迎加入律動 BlockBeats 官方社群

Telegram 訂閱群:https://t.me/theblockbeats

Telegram 交流群:https://t.me/theblockbeatsApp

Twitter 官方賬號:https://twitter.com/BlockBeatsAsia

原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠

文章標籤


Empty