PTT數位生活區 / DigiCurrency (數位貨幣)

[新聞] Ledger助記詞恢復功能爭議整理

看板DigiCurrency (數位貨幣)作者 (只要50圓)時間2年前 (2023/05/17 16:49), 2年前編輯推噓8(805)
留言13則, 8人參與, 2年前最新討論串1/8 (看更多)
新聞來源連結:https://abmedia.io/ledger-recovery-controversy 新聞本文: 加密硬體錢包商 Ledger 於昨日 (16) 宣布將為旗下冷錢包產品推出「Ledger 恢復」功 能,這是一個透過多間第三方公司進行託管的助記詞恢復服務。儘管此功能看似為用戶帶 來多一層保護,但卻引起加密社群諸多批評,而在 Ledger 的回應中,可感受到他們是為 了公司「錢途」才這麼做的。 Ledger 助記詞恢復功能介紹 Ledger 此次推出的助記詞恢復功能是個可選擇的訂閱服務,若用戶使用此功能,其冷錢 包的助記詞便會進行加密並分成三個片段,各片段將由不同的第三方機構託管,分別為加 密保險公司 Coincover、Ledger 及一個獨立的備份服務提供商。 若用戶意外遺失自己的錢包助記詞,只要通過身份驗證,其中兩間託管方便會將加密的助 記詞片段發送回用戶的 Ledger 設備,使其可以重新組合成原有助記詞。 Ledger 助記詞恢復功能引發批評 儘管此功能似乎為用戶提供了多一層保險,但同時也踩到那些認為「冷錢包,就是要冷到 底」的人的底線。另外,身份驗證的可靠性、Ledger 的資安風控水準也成為社群討論的 重點,並為 Ledger 引來了不少質疑聲浪。 Polygon 的資安長 Mudit Gupta 於 Twitter 上表示:「任何受『身份驗證』所保護的東 西本質上都不太安全,因為太容易造假了。」 其呼籲用戶不要使此功能,並好奇是否 Ledger 是否想用此訂閱功能賺取收入,亦或是監 管機構要求的功能,使監管機構可獲得客戶資料以沒收資產。 另外,幣安執行長 CZ 也詢問 Mudit 這是否代表冷錢包助記詞可以與裝置分離?並稱這 與加密社群所支持的理念「你的私鑰絕不會離開你的裝置」背道而馳。 ChainLink 的社群大使 ChainLinkGod 則是點名了 Ledger 過往的資安風波,提醒用戶 Ledger 曾因多次資安漏洞導致大量用戶個人資訊外洩,並認為 Ledger 推出的新功能似 乎考慮不夠周全。 台灣知名冷錢包廠商 CoolWallet 的執行長歐仕邁也於今日對此事件發表看法,其表示 若 Ledger 的新功能被多數錢包用戶採用,加密生態的彈性可能會受到嚴重的威脅。 「想像一下,如果 50% 的所有加密錢包採用了這種服務,這將意味著全球一半的加密資 產將掌握在少數幾個持有這些錢包金鑰的實體手中。在內部管理失當或外部強迫的情況下 ,這些資產的安全將處於嚴重的風險之中。」歐仕邁說道。 Ledger 對大量質疑進行回應 在新功能引來諸多批評後,Ledger 的執行長、技術長及創辦人於昨日晚間透過 Twitter Space 發表想法,之所以推出此功能似乎是為了拓展客源。 Ledger 技術長 Charles Guillemet 表示,當他想到他母親要使用 Ledger 產品時,會面 臨兩種障礙,一是不好讀的地址、二是如何管理私鑰。而 Ledger 的新功能便是要給這些 用戶帶來方便,因為 24 個單詞組成的助記詞對他們來說太複雜。 而 Ledger 執行長 Pascal Gauthier 也在談話中表示:「Ledger Recover 是我們未來 1 億個客戶想要的,他們將透過 Ledger Recover 以安全的方式將入加密世界。」從此句 話更可看出,Ledger 降低使用門檻以拉攏新用戶擴展收入來源的決心。 另外,關於資安問題,Ledger 創辦人 Nicolas Bacca 表示不會有任何的後門,在進行助 記詞恢復時,未經用戶於裝置上同意前,不會有任何事情發生。 至於監管方面的質疑,Ledger 體驗長 Ian Rogers 則表示僅保留法律上面的要求,並稱 不想負起成為託管者的責任。儘管向用戶提供可能需要 KYC 的服務,但這取決於用戶是 否想使用。 評論: 先說自己的感想 : 這Ledger是想賺月租費想瘋了嗎 ?? 硬體冷錢包號稱的硬體上隔離私鑰,卻能把私鑰加密後匯出?? (後面拆成三份什麼KYC的就不是重點了) https://i.imgur.com/tmwIQSC.jpg
-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.80.132 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684313359.A.8C3.html ※ 編輯: tadashi1024 (118.163.80.132 臺灣), 05/17/2023 16:54:48
05/17 18:11, 2年前 , 1F
50%採用意味全球一半...這什麼非洲60秒就有一分鐘過去廢話
05/17 18:11, 1F
05/17 20:33, 2年前 , 2F
買家預期的是無論如何私鑰都不會離開冷錢包,然而事實是
05/17 20:33, 2F
05/17 20:33, 2年前 , 3F
只要更改韌體就有辦法做到,這擺明是欺騙消費者,應該要
05/17 20:33, 3F
05/17 20:33, 2年前 , 4F
求賠償
05/17 20:33, 4F
我倒是很期待國外能夠出現集體訴訟把這間愚蠢的公司告一告 他們似乎完全忘記了當初客戶選擇他們產品的真正目的是什麼 只為了賺那種主要目標客戶絕對不會消費的月租,把產品最核心的價值給整個砸爛 Ledger完美的演繹了什麼叫做商業上的自爆
05/17 21:59, 2年前 , 5F
沒差吧,不要強制就好,只是這樣代表他有辦法在原裝置
05/17 21:59, 5F
05/17 21:59, 2年前 , 6F
上面把密鑰導出成三片嗎? 還是要新的硬體才有這種功能
05/17 21:59, 6F
這不是強制不強制的問題 (有選擇性這點也是Ledger在避重就輕的說法) 重點在於使用者對於硬體冷錢包的信任是私鑰在物理上被隔絕 私鑰是絕對沒有辦法離開硬體冷錢包,這也是Ledger當初宣傳的賣點 然而Ledger recovery則是官方自己把這層信任直接拆掉 今天Ledger只要更新了一個韌體就能把私鑰加密匯出 那他明天可以不可再出一版就能把私鑰不加密導出?甚至不用經過你的同意 畢竟硬體軟體都是他們的也沒有開源,誰能保證這不會發生?
05/17 23:08, 2年前 , 7F
要看他軟體當初寫的時候,有沒有預留這種後門,
05/17 23:08, 7F
05/17 23:08, 2年前 , 8F
否則通常不要更新冷錢包韌體應該就沒事?
05/17 23:08, 8F
有沒有後門這點很難說,但是完全的硬體隔離這一點看來確定不是真的了
05/17 23:24, 2年前 , 9F
我看我自己把註記詞切三份,自己存雲端還比較安全-_-
05/17 23:24, 9F
05/18 02:01, 2年前 , 10F
不想用Ledger了,有沒有什麼推薦的?
05/18 02:01, 10F
05/18 03:16, 2年前 , 11F
Cool wallet?
05/18 03:16, 11F
05/18 08:30, 2年前 , 12F
請問想換錢包的話是不是有助記詞就可以了 然後把舊
05/18 08:30, 12F
05/18 08:30, 2年前 , 13F
的ledger銷毀?
05/18 08:30, 13F
有助記詞就可以,保險一點可以產生新的錢包和助記詞把資產轉移過去 舊的Ledger基本上讓他重新初始化成新的就好,當然不放心也可以學這位老外? https://www.reddit.com/r/ledgerwallet/comments/13kil5p/well_so_long_ledger/ ※ 編輯: tadashi1024 (118.163.80.132 臺灣), 05/18/2023 16:04:48
更多 tadashi1024 的文章
文章代碼(AID): #1aP9KFZ3 (DigiCurrency)
討論串 (同標題文章)
完整討論串 (本文為第 1 之 8 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共8篇)
DigiCurrency 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 tadashi1024 的文章
文章代碼(AID): #1aP9KFZ3 (DigiCurrency)