Cointime

扫码下载App
iOS & Android

Ledger 新推出的 Ledger Recover,为什么被骂了?

多方托管密钥,真的安全吗?

撰文:Leo

5 月 16 日,硬件钱包制造商 Ledger 发布了其版本更新,本次更新引入了一项名为「Ledger Recover」的服务。据悉,Ledger Recover 是一种基于 ID 的「可订阅式」密钥恢复服务,可为用户的私钥恢复助记词提供备份。目前 Ledger Recover 与 Ledger Nano X 兼容,可在运行最新 Ledger Live 版本的 Android 和 iOS 上使用。现可订阅该服务的用户需持有包括持有欧盟、英国、加拿大或美国签发的护照 /ID。未来一段时间,该用户订阅范围将覆盖更多国家。

而 Ledger 也解释了该服务的具体情况,该功能将钱包助记词(密钥)分成三个部分(加密分片技术),并将分发给三个托管人:Ledger、加密货币托管公司 Coincover 和代码托管公司 EscrowTech。如果有人丢失了密钥,三个分片中的两个可以结合起来——等待身份检查——以重新获得对锁定资金的访问权。订阅该服务的价格是每月 9.99 美元。

首先为大家普及一下硬件钱包一般是将私钥存储在安全的硬件设备中,与网络计算机等环境隔离起来,私钥不外漏,即插即用,而 Ledger 的举动彻底打破了我们对传统硬件钱包的认知。

用户的反对

关于该服务的信息发布后,引发了大批用户的反对和抵制,BlockBeats 总结了用户反对该服务的一些观点:

  • 作为硬件钱包,密钥不离开钱包是基础,而 Ledger 的新服务显然让很多可以自己保管密钥的用户接受不了,且订阅服务后,需要将你的密钥、个人身份全部都托管给其他机构,这些机构一旦出现问题(黑客攻击、信息被盗),托管的信息大概率不会完好无损;
  • 订阅该服务需要国家的护照和 ID 验证,任何受「身份验证」保护的东西本质上都是不安全的,身份太容易造假了,且需要通过身份验证才可以确认用户密钥重建的请求,现今身份验证造假、被盗这些太稀疏平常,所以这不是一种安全的途径;
  • 该服务会将密钥分成三部分,这没什么问题,但问题是该服务将用户加密密钥的三部分发送到三个实体公司,他们完全可以重建用户密钥。在数学概率上讲,托管的第三方机构越多,出问题的概率就会指数般增长;
  • 大多数 Ledger 用户使用 Ledger Live,该应用会使用 Ledger 节点进行所有钱包同步,揭示用户加密活动的每个细节,你的资产和交易细节暴露在第三方,加上订阅服务后你的密钥和身份也在第三方托管,如此下去你的加密货币还是自己的吗?
  • 我们不能确定 Ledger 是否内置了安全措施来防止有人将密钥三部分全部发送给一个实体,也不能确定他们以何种途径分发给三个实体,所以更不清楚的是恢复过程中的解密过程实际上是如何进行的;
  • 理论上,我知道你使用了 Ledger Recover 并获得了身份信息,以现在的技术手段通过身份验证并不难,你的加密资产也可以属于别人;
  • 宏观上看,需要考虑监管条件,EscrowTech 和 Ledger 是美国公司,Coincover 是英国公司,这些机构处于英美管辖范围之内,而美英对加密的监管一直是个问题,政府很容易上门索取所有持有人的身份信息,然后随意扣押资金。

Ledger Recover 后更深层的思考

有趣的是,在 Ledger 刚发该服务的信息后,删除了一条内容。该内容意思是「Ledger 和我们信任的第三方无法访问用户密钥」。虽然后来 Ledger 解释了该条内容措辞不准,但这个解释多少有点牵强。

图源推特

结合用户反馈,一个引人深思的问题浮现,该服务背后是追求用户订阅后的盈利,还是有某些监管机构强行要求 Ledger 这么做,如果是监管机构要求之下推出的功能,那么他们可以很容易获得用户 KYC 和数据并收回用户资产,这是非常可怕的一点。

还有一点是,该密钥三部分的使用和恢复都要在 Ledger 官网做验证(Email、身份信息、Onfido KYC),这家名为 Onfido 的公司处理 KYC 流程需要用户上传 / 验证身份时,他们还会保留用户 ID、自拍视频中的图片 / 视频 / 声音,以及设备和当前活动的整体图片。Onfido 全面了解用户身份以及你是 Ledger 用户的事实,因此当你持有相当大量的加密货币,他们还全面了解你用于身份验证的设备,上文也提到,声音 / 图片 / 视频这些并不是不可仿制的。

这真的安全吗?

市面上其他硬件钱包

所以 Ledger 该服务彻底打破了传统的硬件钱包机制,且间接出现了很多漏洞,其实硬件钱包的难题并不是突出起来的,此前硬件钱包巨头 Trezor 就出现过几分钟通过物理方法破解密钥的消息。所以市面上还有哪些硬件钱包可用呢?BlockBeats 整理了一些现今评价较好的硬件钱包如下:

OneKey

OneKey 完全是一个完全开源的硬件钱包,它的内部系统的源代码大家都可以在 GitHub 上面找到,不存在后门的问题。且 OneKey 硬件钱包的使用体验是非常不错,外形一张银行卡一样大小,价格不是特别贵,可以轻松地放到钱包里。

Keystone

Keystone 是一款基于二维码进行数据传输,可以实现助记词和私钥永不触网的硬件钱包,对于硬件钱包来说,很容易会受到攻击,但 Keystone 设计了多层自毁机制,来防止设备受到攻击,也就是说设备检测到有人在拆卸它时,自毁机制会将你的私钥信息和其他敏感信息立即清理掉,因此攻击者就无法获取用户的敏感信息,Keystone 与 MetaMask(扩展和移动版)以及其他顶级软件钱包如 Solflare、Sender、Fewcha 等集成。

结语

当然,也有一些积极观点,该服务并不是强制更新的,用户具自主选择性,所以你可以继续使用你的 Ledger,还有观点表示,加密资产被盗太常见了,丢失密钥的概率远远超过密钥被盗窃的概率,而且每个月只需要 9.99 美元,何乐而不为。选择继续使用还是转战其他硬件钱包,这取决于你自己。

评论

所有评论

推荐阅读

  • 特朗普政府解除对OpenAI的GPT 5.6的限制

    7月8日,据AXIOS:特朗普政府解除对OpenAI的GPT 5.6的限制,商务部已批准OpenAI广泛推出其先进的GPT 5.6模型。(金十)

  • 美国现货以太坊ETF昨日净流入2520万美元

    7月8日,据Trader T监测,美国现货以太坊ETF昨日净流入2520万美元。

  • 美国现货比特币ETF昨日净流入2109万美元

    7月8日,据Trader T监测,美国现货比特币ETF昨日净流入2109万美元。

  • 美军称完成对伊朗新一轮打击

    7月8日,美军中央司令部最新发声明及视频称,美军对伊朗发动新一轮进攻性打击,动用精确制导弹药命中80余个目标,以此“直接回应伊朗近期对在霍尔木兹海峡航行的商船发起的袭击”。声明称,美军此次打击目标涵盖伊朗防空系统、指挥控制网络、沿岸雷达站点及反舰导弹作战能力;此外,在海峡及周边水域击毁逾60艘伊朗伊斯兰革命卫队小型舰艇。美军,此前伊朗先后袭击三艘途经霍尔木兹海峡的商船,分别为马绍尔群岛籍“阿尔·雷卡亚特”号油轮、沙特阿拉伯籍“韦迪安”号油轮及利比里亚籍“塞浦路斯繁荣”号油轮。美军中央司令部部队继续保持战备态势,“一旦伊方不遵守或违背协议,美方将随时追究其责任”。(CCTV国际时讯)

  • 伊朗军方誓言对美军予以“毁灭性回应”,警告勿干预霍尔木兹海峡

    7月8日,伊朗最高联合军事指挥部哈塔姆安比亚中央总部周三表示,伊朗武装部队将对美军做出“毁灭性回应”。此前伊朗指责美军针对伊朗南部部分地区发动打击,称其为“公然侵略行为”,并警告德黑兰不会允许美国干预霍尔木兹海峡的管理。该司令部表示,商船和油轮通过该水道的唯一安全通道是由伊朗确定的航线。美军周二对伊朗发动新一轮打击,并在三艘油轮于霍尔木兹海峡遭射弹袭击后,撤销了允许伊朗出口石油的许可证,进一步施压本已脆弱的停火协议。(金十)

  • 市场消息:特朗普批准了对伊朗的打击计划

    7月8日,市场消息:特朗普批准了对伊朗的打击计划。(新浪财经)

  • “人工智能经济学”奠基人乔·韦曼:无论是否存在泡沫,人工智能技术仍将滚滚向前

    7月7日,近日,美国未来产业研究院创始人乔·韦曼在“智联全球 根筑苏州”AI生态研究分享会上表示,没有任何一项技术比人工智能更能颠覆性地改变企业、社会和世界。如果仅仅从有多少资本在追逐,以及存在多少机会的角度来看待人工智能,它可能处于泡沫中。然而某种程度上这并不重要,因为互联网也曾处于泡沫中,如今大多数人仍然在使用互联网。技术的进展和部署与投资路径是松散耦合,但并非直接相关的。投资可能涉及对特定领域的过度投资或投资不足,但像这样充满希望和潜力的技术仍将继续发展,无论未来会发生什么。世界各地有许多聪明人正在努力开发人工智能的下一代技术。乔·韦曼认为,关键在于回归对人类智能的认知本源,从而重建智能。他指出,能够在硅基材料上模仿人脑是一项重大成就,比如通过脉冲神经网络系统,复制大脑神经元如何利用电压脉冲进行工作。另一种路径是利用生物学,比如DNA不仅存储我们发育所需的信息,还可以作为计算机运行。此外,还有一些新的能源管理和简化方法也充满想象力,例如储备池计算、无能耗计算等。

  • 光通信概念股全线下跌,迈威尔科技跌超9%

    7月7日,美股光通信概念股全线下跌,Astera Labs跌超11%,Credo Technology跌超10%,迈威尔科技跌超9%,Coherent、康宁、Applied Optoelectron均跌超7%,Tower导体、格芯跌超6%,Lumentum、Ciena、诺基亚均跌超5%,博通跌超2%。

  • 正式纳入纳斯达克100指数,SpaceX大跌超5%

    7月7日,SpaceX(SPCX.US)跌超5%,报159.3美元。消息面上,SpaceX今日正式被纳入纳斯达克100指数,成为该指数中首家以航天业务为核心的企业。摩根大通测算其在指数中的权重约为1.3%。Freedom Capital Markets技术研究主管Paul Meeks认为,此次纳入“实际意义可能低于市场预期”,因为相关规则透明,市场已提前消化部分影响。 另外值得注意的是,一项诉讼请求法院下令SpaceX关闭为其Colossus 2数据中心供电的燃气轮机,理由是其在未取得所需许可的情况下运营。该诉讼可能会危及SpaceX与Anthropic签订的450亿美元合同中的部分内容。下级法院很可能会下令在获得许可期间关停这些涡轮机,但也可能会给予SpaceX一定的时间来遵守规定。

  • 美股芯片股持续走低,闪迪跌超11%

    7月7日,美股芯片股跌幅持续扩大,费城半导体指数跌幅扩大至6%,闪迪跌超11%,西部数据跌近10%,美光科技 、希捷科技跌超7%, 英伟达跌1.3%。 消息面上,三星电子今日公布的初步业绩虽强于预期,股价却应声下跌,再度印证了该股“业绩利好反成出货信号”的市场惯性——投资者往往在业绩兑现时获利了结,因市场早已提前消化其里程碑式利好。