作者tadashi1024 (只要50圆)
看板DigiCurrency
标题[新闻] Ledger助记词恢复功能争议整理
时间Wed May 17 16:49:17 2023
新闻来源连结:
https://abmedia.io/ledger-recovery-controversy
新闻本文:
加密硬体钱包商 Ledger 於昨日 (16) 宣布将为旗下冷钱包产品推出「Ledger 恢复」功
能,这是一个透过多间第三方公司进行托管的助记词恢复服务。尽管此功能看似为用户带
来多一层保护,但却引起加密社群诸多批评,而在 Ledger 的回应中,可感受到他们是为
了公司「钱途」才这麽做的。
Ledger 助记词恢复功能介绍
Ledger 此次推出的助记词恢复功能是个可选择的订阅服务,若用户使用此功能,其冷钱
包的助记词便会进行加密并分成三个片段,各片段将由不同的第三方机构托管,分别为加
密保险公司 Coincover、Ledger 及一个独立的备份服务提供商。
若用户意外遗失自己的钱包助记词,只要通过身份验证,其中两间托管方便会将加密的助
记词片段发送回用户的 Ledger 设备,使其可以重新组合成原有助记词。
Ledger 助记词恢复功能引发批评
尽管此功能似乎为用户提供了多一层保险,但同时也踩到那些认为「
冷钱包,就是要冷到
底」的人的底线。另外,身份验证的可靠性、Ledger 的资安风控水准也成为社群讨论的
重点,并为 Ledger 引来了不少质疑声浪。
Polygon 的资安长 Mudit Gupta 於 Twitter 上表示:「
任何受『身份验证』所保护的东
西本质上都不太安全,因为太容易造假了。」
其呼吁用户不要使此功能,并好奇是否 Ledger 是否想用此订阅功能赚取收入,亦或是监
管机构要求的功能,使监管机构可获得客户资料以没收资产。
另外,币安执行长 CZ 也询问 Mudit
这是否代表冷钱包助记词可以与装置分离?并称这
与加密社群所支持的理念「你的私钥绝不会离开你的装置」背道而驰。
ChainLink 的社群大使 ChainLinkGod 则是点名了 Ledger 过往的资安风波,提醒用户
Ledger 曾因多次资安漏洞导致大量用户个人资讯外泄,并认为 Ledger 推出的新功能似
乎考虑不够周全。
台湾知名冷钱包厂商 CoolWallet 的执行长欧仕迈也於今日对此事件发表看法,其表示
若 Ledger 的新功能被多数钱包用户采用,加密生态的弹性可能会受到严重的威胁。
「想像一下,如果 50% 的所有加密钱包采用了这种服务,这将意味着全球一半的加密资
产将掌握在少数几个持有这些钱包金钥的实体手中。在内部管理失当或外部强迫的情况下
,这些资产的安全将处於严重的风险之中。」欧仕迈说道。
Ledger 对大量质疑进行回应
在新功能引来诸多批评後,Ledger 的执行长、技术长及创办人於昨日晚间透过 Twitter
Space 发表想法,之所以推出此功能似乎是为了拓展客源。
Ledger 技术长 Charles Guillemet 表示,当他想到他母亲要使用 Ledger 产品时,会面
临两种障碍,一是不好读的地址、二是如何管理私钥。而 Ledger 的新功能便是要给这些
用户带来方便,因为 24 个单词组成的助记词对他们来说太复杂。
而 Ledger 执行长 Pascal Gauthier 也在谈话中表示:「Ledger Recover 是我们未来
1 亿个客户想要的,他们将透过 Ledger Recover 以安全的方式将入加密世界。」从此句
话更可看出,Ledger 降低使用门槛以拉拢新用户扩展收入来源的决心。
另外,关於资安问题,Ledger 创办人 Nicolas Bacca 表示不会有任何的後门,在进行助
记词恢复时,未经用户於装置上同意前,不会有任何事情发生。
至於监管方面的质疑,Ledger 体验长 Ian Rogers 则表示仅保留法律上面的要求,并称
不想负起成为托管者的责任。尽管向用户提供可能需要 KYC 的服务,但这取决於用户是
否想使用。
评论:
先说自己的感想 : 这Ledger是想赚月租费想疯了吗 ??
硬体冷钱包号称的硬体上隔离私钥,却能把私钥加密後汇出??
(後面拆成三份什麽KYC的就不是重点了)
https://i.imgur.com/tmwIQSC.jpg
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.163.80.132 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1684313359.A.8C3.html
※ 编辑: tadashi1024 (118.163.80.132 台湾), 05/17/2023 16:54:48
1F:推 wurgy: 50%采用意味全球一半...这什麽非洲60秒就有一分钟过去废话 05/17 18:11
2F:推 hallow: 买家预期的是无论如何私钥都不会离开冷钱包,然而事实是 05/17 20:33
3F:→ hallow: 只要更改韧体就有办法做到,这摆明是欺骗消费者,应该要 05/17 20:33
4F:→ hallow: 求赔偿 05/17 20:33
我倒是很期待国外能够出现集体诉讼把这间愚蠢的公司告一告
他们似乎完全忘记了当初客户选择他们产品的真正目的是什麽
只为了赚那种主要目标客户绝对不会消费的月租,把产品最核心的价值给整个砸烂
Ledger完美的演绎了什麽叫做商业上的自爆
5F:推 kckckckc: 没差吧,不要强制就好,只是这样代表他有办法在原装置 05/17 21:59
6F:→ kckckckc: 上面把密钥导出成三片吗? 还是要新的硬体才有这种功能 05/17 21:59
这不是强制不强制的问题 (有选择性这点也是Ledger在避重就轻的说法)
重点在於使用者对於硬体冷钱包的信任是私钥在物理上被隔绝
私钥是绝对没有办法离开硬体冷钱包,这也是Ledger当初宣传的卖点
然而Ledger recovery则是官方自己把这层信任直接拆掉
今天Ledger只要更新了一个韧体就能把私钥加密汇出
那他明天可以不可再出一版就能把私钥不加密导出?甚至不用经过你的同意
毕竟硬体软体都是他们的也没有开源,谁能保证这不会发生?
7F:推 sazabijiang: 要看他软体当初写的时候,有没有预留这种後门, 05/17 23:08
8F:→ sazabijiang: 否则通常不要更新冷钱包韧体应该就没事? 05/17 23:08
有没有後门这点很难说,但是完全的硬体隔离这一点看来确定不是真的了
9F:推 ripple0129: 我看我自己把注记词切三份,自己存云端还比较安全-_- 05/17 23:24
10F:推 lonysancho: 不想用Ledger了,有没有什麽推荐的? 05/18 02:01
11F:推 ke0218n: Cool wallet? 05/18 03:16
12F:推 ScarletRain: 请问想换钱包的话是不是有助记词就可以了 然後把旧 05/18 08:30
13F:→ ScarletRain: 的ledger销毁? 05/18 08:30
有助记词就可以,保险一点可以产生新的钱包和助记词把资产转移过去
旧的Ledger基本上让他重新初始化成新的就好,当然不放心也可以学这位老外?
https://www.reddit.com/r/ledgerwallet/comments/13kil5p/well_so_long_ledger/
※ 编辑: tadashi1024 (118.163.80.132 台湾), 05/18/2023 16:04:48
14F:推 os56good: 能动私钥就不是正确理念了 05/23 08:50
15F:→ os56good: 没事 有人会去动你家保险箱吗 05/23 08:50
16F:推 Wilson310: 再说明一次 05/25 07:42
17F:→ Wilson310: 刻在铁板上完全离线自己保存才是 05/25 07:42
18F:→ Wilson310: 冷钱包最原始最核心的理念 05/25 07:42
19F:→ Wilson310: 也是最安全的方式 05/25 07:42
20F:→ Wilson310: 建议可以购买那种拼字的不锈钢铁板 05/25 07:42
21F:推 ISNAKEI: 切一切压缩起来丢云端呢 没事不会有人去破解我的rar吧? 05/26 04:38