主流的冷錢包品牌之一 Ledger 宣布推出「Ledger Recover(私鑰恢復)」功能後,被質疑的聲浪越來越大,儘管Ledger 高層紛紛出來滅火,但卻導致火上加油,還把整個冷錢包賽道都拖下水。
(前情提要:觀點》冷錢包Ledger安全嗎?兩大關鍵告訴你繼續用、還是換錢包)
(背景補充:Ledger 副總回應:安全晶片不會開源!社群喊改買 Trezor)
知名冷錢包大廠 Ledger 於 16 晚宣布推出私鑰「Ledger Recover(恢復)」功能,這是一個透過多間第三方公司進行託管的助記詞恢復服務。看似貼心的功能卻引起整個社群強烈反彈,甚至揚言抵制。眼看這把怒火越演越烈,Ledger 高層紛紛出來滅火,但是沒想到出面說明的結果又導致火上加油。
政府寄傳票即有冷錢包權限
在 5 月 20 日鏈上分析師 @NFtherder 在論壇 Reddit 詢問到有關私鑰儲存在第三方安全性問題,他詢問如果追根究底來看,政府對 Ledger 或第三方機構發出傳票,政府是否可以使用 Recover 來存取 Ledger 的資金,而不需要客戶同意或知曉此事。沒想到 Ledger 共同創辦人(前CEO)出面表示:
如果你是 Recover 服務的使用者,並將你的碎片存放在由第三方保管,那麼是的,政府可以對這些第三方發出傳票,並獲得存取您資金的權限。
使用 Recover 提供了一個方便的恢復選項,減輕了備份丟失的風險,但是您的資產在理論上可能會被政府凍結(這僅是理論,我不是律師,也沒有見過任何有關此問題的法律意見。
再將 Trezor 拖下水
Ledger 共同創辦人繼續將此事越描越黑,並且把另一個主流冷錢包品牌 @Trezor 給拖下水,表示用戶在更新韌體時,其實冷錢包商都可以獲取用戶的私鑰,只是他們選擇不這樣做,不只是 Ledger 而已,全部的冷錢包商包含 Trezor。
雖然 Trezor 是開源的,但是他們還是可以做出不受信任的韌體,然後 99%的用戶都會不經思考去更新它,只有很少的用戶會自己去觀察程式代碼。你一樣可以出於原則去減少對於 Trezor 的信任,但是不會對你的安全上有任何益處。
值得一提的是,依動區先前的報導,雖然不論 Ledger 是否推出 Recover 恢復服務的功能,由於原生晶片的 SE 冷錢包的私鑰都不會遭受攻擊(因為線上攻擊者通常無法操作實體錢包輸入密碼),但是是否要信任第三方的託管還是見仁見智,只能說 Ledger 這次面臨的可能不是「產品問題」而是「公關危機」了。
📍相關報導📍
Ledger錢包玩火自焚?私鑰備份服務「Recover」遭砲轟,CEO嘴硬:用戶想要的
