看板 DigiCurrency
作者 tadashi1024 (只要50圓)
標題 [新聞] Ledger助記詞恢復功能爭議整理
時間 Wed May 17 16:49:17 2023


新聞來源連結:https://abmedia.io/ledger-recovery-controversy
Ledger助記詞恢復功能爭議整理|有哪些潛在風險?為了「賺錢」才推此功能?
[圖]
硬體錢包商 Ledger 於宣布將為旗下冷錢包產品推出「Ledger 恢復」功能,這是一個透過多間第三方公司進行託管的助記詞恢復服務。儘管此功能看似為用戶帶來多一層保護,但卻引起加密社群諸多批評,而在 Ledger 的回應中,可感受到他們是為了公司「錢途」才這麼做的。 ...

 

新聞本文:
加密硬體錢包商 Ledger 於昨日 (16) 宣布將為旗下冷錢包產品推出「Ledger 恢復」功
能,這是一個透過多間第三方公司進行託管的助記詞恢復服務。儘管此功能看似為用戶帶
來多一層保護,但卻引起加密社群諸多批評,而在 Ledger 的回應中,可感受到他們是為
了公司「錢途」才這麼做的。


Ledger 助記詞恢復功能介紹
Ledger 此次推出的助記詞恢復功能是個可選擇的訂閱服務,若用戶使用此功能,其冷錢
包的助記詞便會進行加密並分成三個片段,各片段將由不同的第三方機構託管,分別為加
密保險公司 Coincover、Ledger 及一個獨立的備份服務提供商。


若用戶意外遺失自己的錢包助記詞,只要通過身份驗證,其中兩間託管方便會將加密的助
記詞片段發送回用戶的 Ledger 設備,使其可以重新組合成原有助記詞。

Ledger 助記詞恢復功能引發批評
儘管此功能似乎為用戶提供了多一層保險,但同時也踩到那些認為「冷錢包,就是要冷到
」的人的底線。另外,身份驗證的可靠性、Ledger 的資安風控水準也成為社群討論的
重點,並為 Ledger 引來了不少質疑聲浪。


Polygon 的資安長 Mudit Gupta 於 Twitter 上表示:「任何受『身份驗證』所保護的東
西本質上都不太安全,因為太容易造假了。

其呼籲用戶不要使此功能,並好奇是否 Ledger 是否想用此訂閱功能賺取收入,亦或是監
管機構要求的功能,使監管機構可獲得客戶資料以沒收資產。

另外,幣安執行長 CZ 也詢問 Mudit 這是否代表冷錢包助記詞可以與裝置分離?並稱這
與加密社群所支持的理念「你的私鑰絕不會離開你的裝置」背道而馳。

ChainLink 的社群大使 ChainLinkGod 則是點名了 Ledger 過往的資安風波,提醒用戶
Ledger 曾因多次資安漏洞導致大量用戶個人資訊外洩,並認為 Ledger 推出的新功能似
乎考慮不夠周全。


台灣知名冷錢包廠商 CoolWallet 的執行長歐仕邁也於今日對此事件發表看法,其表示
若 Ledger 的新功能被多數錢包用戶採用,加密生態的彈性可能會受到嚴重的威脅。
「想像一下,如果 50% 的所有加密錢包採用了這種服務,這將意味著全球一半的加密資
產將掌握在少數幾個持有這些錢包金鑰的實體手中。在內部管理失當或外部強迫的情況下
,這些資產的安全將處於嚴重的風險之中。」歐仕邁說道。


Ledger 對大量質疑進行回應
在新功能引來諸多批評後,Ledger 的執行長、技術長及創辦人於昨日晚間透過 Twitter
Space 發表想法,之所以推出此功能似乎是為了拓展客源。

Ledger 技術長 Charles Guillemet 表示,當他想到他母親要使用 Ledger 產品時,會面
臨兩種障礙,一是不好讀的地址、二是如何管理私鑰。而 Ledger 的新功能便是要給這些
用戶帶來方便,因為 24 個單詞組成的助記詞對他們來說太複雜。


而 Ledger 執行長 Pascal Gauthier 也在談話中表示:「Ledger Recover 是我們未來
1 億個客戶想要的,他們將透過 Ledger Recover 以安全的方式將入加密世界。」從此句
話更可看出,Ledger 降低使用門檻以拉攏新用戶擴展收入來源的決心。

另外,關於資安問題,Ledger 創辦人 Nicolas Bacca 表示不會有任何的後門,在進行助
記詞恢復時,未經用戶於裝置上同意前,不會有任何事情發生。

至於監管方面的質疑,Ledger 體驗長 Ian Rogers 則表示僅保留法律上面的要求,並稱
不想負起成為託管者的責任。儘管向用戶提供可能需要 KYC 的服務,但這取決於用戶是
否想使用。



評論:

先說自己的感想 : 這Ledger是想賺月租費想瘋了嗎 ??

硬體冷錢包號稱的硬體上隔離私鑰,卻能把私鑰加密後匯出??
(後面拆成三份什麼KYC的就不是重點了)

https://i.imgur.com/tmwIQSC.jpg
[圖]

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.80.132 (臺灣)
※ 作者: tadashi1024 2023-05-17 16:49:17
※ 文章代碼(AID): #1aP9KFZ3 (DigiCurrency)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684313359.A.8C3.html
※ 同主題文章:
[新聞] Ledger助記詞恢復功能爭議整理
05-17 16:49 tadashi1024
※ 編輯: tadashi1024 (118.163.80.132 臺灣), 05/17/2023 16:54:48
wurgy: 50%採用意味全球一半...這什麼非洲60秒就有一分鐘過去廢話1F 05/17 18:11
hallow: 買家預期的是無論如何私鑰都不會離開冷錢包,然而事實是只要更改韌體就有辦法做到,這擺明是欺騙消費者,應該要求賠償2F 05/17 20:33
我倒是很期待國外能夠出現集體訴訟把這間愚蠢的公司告一告
他們似乎完全忘記了當初客戶選擇他們產品的真正目的是什麼
只為了賺那種主要目標客戶絕對不會消費的月租,把產品最核心的價值給整個砸爛
Ledger完美的演繹了什麼叫做商業上的自爆
kckckckc: 沒差吧,不要強制就好,只是這樣代表他有辦法在原裝置上面把密鑰導出成三片嗎? 還是要新的硬體才有這種功能5F 05/17 21:59
這不是強制不強制的問題 (有選擇性這點也是Ledger在避重就輕的說法)
重點在於使用者對於硬體冷錢包的信任是私鑰在物理上被隔絕
私鑰是絕對沒有辦法離開硬體冷錢包,這也是Ledger當初宣傳的賣點
然而Ledger recovery則是官方自己把這層信任直接拆掉

今天Ledger只要更新了一個韌體就能把私鑰加密匯出
那他明天可以不可再出一版就能把私鑰不加密導出?甚至不用經過你的同意
畢竟硬體軟體都是他們的也沒有開源,誰能保證這不會發生?

sazabijiang: 要看他軟體當初寫的時候,有沒有預留這種後門,
否則通常不要更新冷錢包韌體應該就沒事?7F 05/17 23:08
有沒有後門這點很難說,但是完全的硬體隔離這一點看來確定不是真的了
ripple0129: 我看我自己把註記詞切三份,自己存雲端還比較安全-_-9F 05/17 23:24
※ 編輯: tadashi1024 (1.163.149.202 臺灣), 05/18/2023 01:23:01
lonysancho: 不想用Ledger了,有沒有什麼推薦的?10F 05/18 02:01
ke0218n: Cool wallet?11F 05/18 03:16
ScarletRain: 請問想換錢包的話是不是有助記詞就可以了 然後把舊的ledger銷毀?12F 05/18 08:30

--
作者 tadashi1024 的最新發文:
點此顯示更多發文記錄