加密硬体钱包商 Ledger 于昨日 (16) 宣布将为旗下冷钱包产品推出「Ledger 恢复」功能,这是一个透过多间第三方公司进行托管的助记词恢复服务。尽管此功能看似为用户带来多一层保护,但却引起加密社群诸多批评,而在 Ledger 的回应中,可感受到他们是为了公司「钱途」才这么做的。
Exciting update, Ledger has a new product, Ledger Recover, that’s launching soon: https://t.co/nT1VHnnSYz
🧵Here’s what Ledger Recover is and what it isn’t, explained by @P3b7_ & in the thread below. pic.twitter.com/RW1w07H6pK
— Ledger (@Ledger) May 16, 2023
Ledger 助记词恢复功能介绍
Ledger 此次推出的助记词恢复功能是个可选择的订阅服务,若用户使用此功能,其冷钱包的助记词便会进行加密并分成三个片段,各片段将由不同的第三方机构托管,分别为加密保险公司 Coincover、Ledger 及一个独立的备份服务提供商。
若用户意外遗失自己的钱包助记词,只要通过身份验证,其中两间托管方便会将加密的助记词片段发送回用户的 Ledger 设备,使其可以重新组合成原有助记词。
Ledger 助记词恢复功能引发批评
尽管此功能似乎为用户提供了多一层保险,但同时也踩到那些认为「冷钱包,就是要冷到底」的人的底线。另外,身份验证的可靠性、Ledger 的资安风控水准也成为社群讨论的重点,并为 Ledger 引来了不少质疑声浪。
Polygon 的资安长 Mudit Gupta 于 Twitter 上表示:「任何受『身份验证』所保护的东西本质上都不太安全,因为太容易造假了。」
其呼吁用户不要使此功能,并好奇是否 Ledger 是否想用此订阅功能赚取收入,亦或是监管机构要求的功能,使监管机构可获得客户资料以没收资产。
另外,币安执行长 CZ 也询问 Mudit 这是否代表冷钱包助记词可以与装置分离?并称这与加密社群所支持的理念「你的私钥绝不会离开你的装置」背道而驰。
So the seed can leave the device now?
Sounds like a different direction than "your keys never leave the device". 🤷♂️
— CZ 🔶 Binance (@cz_binance) May 16, 2023
ChainLink 的社群大使 ChainLinkGod 则是点名了 Ledger 过往的资安风波,提醒用户 Ledger 曾因多次资安漏洞导致大量用户个人资讯外泄,并认为 Ledger 推出的新功能似乎考虑不够周全。
Ledger, the company that has experienced multiple security breaches that exposed the personal information of hundreds of thousands of its customers
Now wants you to export your private keys from your hardware wallet and give fragments to them, Coincover, and an unnamed third… https://t.co/PO7OGy4DLT
— ChainLinkGod.eth (@ChainLinkGod) May 16, 2023
台湾知名冷钱包厂商 CoolWallet 的执行长欧仕迈也于今日对此事件发表看法,其表示若 Ledger 的新功能被多数钱包用户采用,加密生态的弹性可能会受到严重的威胁。
「想像一下,如果 50% 的所有加密钱包采用了这种服务,这将意味着全球一半的加密资产将掌握在少数几个持有这些钱包金钥的实体手中。在内部管理失当或外部强迫的情况下,这些资产的安全将处于严重的风险之中。」欧仕迈说道。
Ledger 对大量质疑进行回应
在新功能引来诸多批评后,Ledger 的执行长、技术长及创办人于昨日晚间透过 Twitter Space 发表想法,之所以推出此功能似乎是为了拓展客源。
Ledger 技术长 Charles Guillemet 表示,当他想到他母亲要使用 Ledger 产品时,会面临两种障碍,一是不好读的地址、二是如何管理私钥。而 Ledger 的新功能便是要给这些用户带来方便,因为 24 个单词组成的助记词对他们来说太复杂。
而 Ledger 执行长 Pascal Gauthier 也在谈话中表示:「Ledger Recover 是我们未来 1 亿个客户想要的,他们将透过 Ledger Recover 以安全的方式将入加密世界。」从此句话更可看出,Ledger 降低使用门槛以拉拢新用户扩展收入来源的决心。
另外,关于资安问题,Ledger 创办人 Nicolas Bacca 表示不会有任何的后门,在进行助记词恢复时,未经用户于装置上同意前,不会有任何事情发生。
至于监管方面的质疑,Ledger 体验长 Ian Rogers 则表示仅保留法律上面的要求,并称不想负起成为托管者的责任。尽管向用户提供可能需要 KYC 的服务,但这取决于用户是否想使用。
"Technically, as soon as you opt in for the service, you'll be asked if you are happy to opt-in for Ledger Recover. If you are – then you sign a transaction on your Ledger to shard your private keys into 3 shards, then it's encrypted in the device, then a secure channel is…
— Ledger (@Ledger) May 16, 2023
