Cointime

扫码下载App
iOS & Android

Ledger 新推出的 Ledger Recover,为什么被骂了?

多方托管密钥,真的安全吗?

撰文:Leo

5 月 16 日,硬件钱包制造商 Ledger 发布了其版本更新,本次更新引入了一项名为「Ledger Recover」的服务。据悉,Ledger Recover 是一种基于 ID 的「可订阅式」密钥恢复服务,可为用户的私钥恢复助记词提供备份。目前 Ledger Recover 与 Ledger Nano X 兼容,可在运行最新 Ledger Live 版本的 Android 和 iOS 上使用。现可订阅该服务的用户需持有包括持有欧盟、英国、加拿大或美国签发的护照 /ID。未来一段时间,该用户订阅范围将覆盖更多国家。

而 Ledger 也解释了该服务的具体情况,该功能将钱包助记词(密钥)分成三个部分(加密分片技术),并将分发给三个托管人:Ledger、加密货币托管公司 Coincover 和代码托管公司 EscrowTech。如果有人丢失了密钥,三个分片中的两个可以结合起来——等待身份检查——以重新获得对锁定资金的访问权。订阅该服务的价格是每月 9.99 美元。

首先为大家普及一下硬件钱包一般是将私钥存储在安全的硬件设备中,与网络计算机等环境隔离起来,私钥不外漏,即插即用,而 Ledger 的举动彻底打破了我们对传统硬件钱包的认知。

用户的反对

关于该服务的信息发布后,引发了大批用户的反对和抵制,BlockBeats 总结了用户反对该服务的一些观点:

  • 作为硬件钱包,密钥不离开钱包是基础,而 Ledger 的新服务显然让很多可以自己保管密钥的用户接受不了,且订阅服务后,需要将你的密钥、个人身份全部都托管给其他机构,这些机构一旦出现问题(黑客攻击、信息被盗),托管的信息大概率不会完好无损;
  • 订阅该服务需要国家的护照和 ID 验证,任何受「身份验证」保护的东西本质上都是不安全的,身份太容易造假了,且需要通过身份验证才可以确认用户密钥重建的请求,现今身份验证造假、被盗这些太稀疏平常,所以这不是一种安全的途径;
  • 该服务会将密钥分成三部分,这没什么问题,但问题是该服务将用户加密密钥的三部分发送到三个实体公司,他们完全可以重建用户密钥。在数学概率上讲,托管的第三方机构越多,出问题的概率就会指数般增长;
  • 大多数 Ledger 用户使用 Ledger Live,该应用会使用 Ledger 节点进行所有钱包同步,揭示用户加密活动的每个细节,你的资产和交易细节暴露在第三方,加上订阅服务后你的密钥和身份也在第三方托管,如此下去你的加密货币还是自己的吗?
  • 我们不能确定 Ledger 是否内置了安全措施来防止有人将密钥三部分全部发送给一个实体,也不能确定他们以何种途径分发给三个实体,所以更不清楚的是恢复过程中的解密过程实际上是如何进行的;
  • 理论上,我知道你使用了 Ledger Recover 并获得了身份信息,以现在的技术手段通过身份验证并不难,你的加密资产也可以属于别人;
  • 宏观上看,需要考虑监管条件,EscrowTech 和 Ledger 是美国公司,Coincover 是英国公司,这些机构处于英美管辖范围之内,而美英对加密的监管一直是个问题,政府很容易上门索取所有持有人的身份信息,然后随意扣押资金。

Ledger Recover 后更深层的思考

有趣的是,在 Ledger 刚发该服务的信息后,删除了一条内容。该内容意思是「Ledger 和我们信任的第三方无法访问用户密钥」。虽然后来 Ledger 解释了该条内容措辞不准,但这个解释多少有点牵强。

图源推特

结合用户反馈,一个引人深思的问题浮现,该服务背后是追求用户订阅后的盈利,还是有某些监管机构强行要求 Ledger 这么做,如果是监管机构要求之下推出的功能,那么他们可以很容易获得用户 KYC 和数据并收回用户资产,这是非常可怕的一点。

还有一点是,该密钥三部分的使用和恢复都要在 Ledger 官网做验证(Email、身份信息、Onfido KYC),这家名为 Onfido 的公司处理 KYC 流程需要用户上传 / 验证身份时,他们还会保留用户 ID、自拍视频中的图片 / 视频 / 声音,以及设备和当前活动的整体图片。Onfido 全面了解用户身份以及你是 Ledger 用户的事实,因此当你持有相当大量的加密货币,他们还全面了解你用于身份验证的设备,上文也提到,声音 / 图片 / 视频这些并不是不可仿制的。

这真的安全吗?

市面上其他硬件钱包

所以 Ledger 该服务彻底打破了传统的硬件钱包机制,且间接出现了很多漏洞,其实硬件钱包的难题并不是突出起来的,此前硬件钱包巨头 Trezor 就出现过几分钟通过物理方法破解密钥的消息。所以市面上还有哪些硬件钱包可用呢?BlockBeats 整理了一些现今评价较好的硬件钱包如下:

OneKey

OneKey 完全是一个完全开源的硬件钱包,它的内部系统的源代码大家都可以在 GitHub 上面找到,不存在后门的问题。且 OneKey 硬件钱包的使用体验是非常不错,外形一张银行卡一样大小,价格不是特别贵,可以轻松地放到钱包里。

Keystone

Keystone 是一款基于二维码进行数据传输,可以实现助记词和私钥永不触网的硬件钱包,对于硬件钱包来说,很容易会受到攻击,但 Keystone 设计了多层自毁机制,来防止设备受到攻击,也就是说设备检测到有人在拆卸它时,自毁机制会将你的私钥信息和其他敏感信息立即清理掉,因此攻击者就无法获取用户的敏感信息,Keystone 与 MetaMask(扩展和移动版)以及其他顶级软件钱包如 Solflare、Sender、Fewcha 等集成。

结语

当然,也有一些积极观点,该服务并不是强制更新的,用户具自主选择性,所以你可以继续使用你的 Ledger,还有观点表示,加密资产被盗太常见了,丢失密钥的概率远远超过密钥被盗窃的概率,而且每个月只需要 9.99 美元,何乐而不为。选择继续使用还是转战其他硬件钱包,这取决于你自己。

评论

所有评论

推荐阅读

  • SBF 被命令没收超 110 亿美元

    SBF 被命令没收超 110 亿美元。SBF 现已被判处 25 年监禁。

  • FTX和Alameda Research联合创始人因涉嫌欺诈和洗钱被判入狱25年

    加密货币交易所FTX和交易公司Alameda Research的联合创始人兼前首席执行官Sam Bankman-Fried因欺诈和洗钱罪名被南纽约地区法院法官判处25年监禁,他的潜在总刑期为110年。此次判决可能会对整个加密货币行业产生影响,因为法官需要考虑惩罚的必要性,以遏制其他白领罪犯和加密领域的不良行为者。在几天前,该交易所申请破产,并且Bankman-Fried辞去了CEO的职务。他的审判和前几个月揭示出问题比最初想象的要大得多,因为Bankman-Fried和其他高管滥用了超过80亿美元的客户资金。

  • 德国公司Midas获得800万美元融资,用于扩大业务和开发工作。

    德国柏林的资产代币化协议提供商Midas获得了800万美元的融资,由Framework Ventures、BlockTower和HV Capital领投,Cathay Ledger、6th Man Ventures、Hack VC、GSR、Lattice Capital、Phaedrus、Theia Blockchain、Pareto、Axelar Foundation、Peer VC、FJ Labs和Coinbase Ventures参与。该公司打算利用这笔资金扩大业务和开发工作。Midas的资产代币化协议发行的代币是基于ERC-20的,所有底层资产都由机构托管人持有。Midas的资产保持了不可变区块链账本所提供的组合性和透明度。Midas的CEO Dennis Dinkelmeyer表示:“Midas有望继续为投资者带来创新产品,通过收益代币将资本,特别是稳定资本,保留在链上,同时利用相关DeFi应用的全部功能。”

  • 3月28日晚间要闻速递

    1. BTC突破71,000.00美元,现报71,059.99美元

  • Web3 AI培训公司FLock筹集600万美元种子资金

    Web3人工智能培训公司FLock筹集由Lightspeed Faction和Tagus Capital领投的600万美元种子资金。FLock 将利用这些资金来发展其团队并开发由联邦学习驱动的人工智能培训平台。

  • MAS:新加坡正在致力于全球第一层基金代币化监管

    新加坡金融管理局董事总经理Chia Der Jiun在为资产经理举办的活动中介绍了一些基金代币化试点,这些试点是Project Guardian和MAS Global Layer 1 (GL1) 代币化计划的一部分,Chia Der Jiun强调了代币化在即时结算和流程自动化方面的优势,这些优势可以提高效率,实现基金的更大定制化。 英国资产管理公司施罗德(Schroders)和基金分销平台Calastone正在探索这一点,作为新加坡Project Guardian公共区块链试验的一部分,Calastone最近的一项调查显示,96%的亚太地区资产管理公司打算在三年内推出代币化产品。Chia表示,随着这些 Project Guardian试点项目越来越接近商业化,MAS正在与这些试点管理者合作,研究代币化投资基金的法律和监管待遇以及影响。”

  • Prisma:vault所有者需禁止LST、LRT相关合约委托授权

    LSD稳定币协议Prisma Finance发文称,对于vault所有者,请禁止0xcC72开头LST合约与0xC3eA开头LRT合约委托授权。

  • 香港证监会:HKCEXP、EDY 涉嫌从事虚拟资产欺诈行为

    香港证监会(SFC)在其公众平台发文称,HKCEXP、EDY 涉嫌从事虚拟资产欺诈行为。据悉,证监会已将 HKCEXP、EDY 及其相关网站列入警示名单;香港警务处亦已采取行动封锁 HKCEXP 的相关网站。

  • dappOS以3亿美元估值融资1530万美元

    意图执行网络 dappOS 在 Polychain 领投的 A 轮融资中筹集了 1530 万美元,估值为 3 亿美元。dappOS 成立于 2022 年 5 月,并于 2022 年 12 月入选币安孵化计划第 5 季。2023 年 7 月,dappOS 获得币安 Labs、红杉中国等机构的种子轮投资。 此轮融资的其他支持者包括 Nomad Capital、IDG、Flow Traders、IOBC、NGC、Amber Group、Uphonest、Taihill、Waterdrip、Bing Ventures、Spark Capital 和 Metalpha 等。

  • Stratis:已获得西班牙银行的虚拟资产服务提供商注册

    区块链技术公司 Stratis 宣布已获得西班牙银行的虚拟资产服务提供商 (VASP) 注册。