原文作者:原文編譯:PANews
原文編譯:PANews
原文編譯:PANews
原文編譯:PANews
5 月16 日,Ledger 發布了Nano X 冷錢包2.2.1 固件更新,其中將引入一個名為“Ledger Recover”的密鑰助記詞恢復功能,作為一種基於ID 的密鑰恢復服務,該功能會備份用戶的私鑰恢復助記詞,同時需要訂閱(每月9.99 美元)才能啟用。現階段需要歐盟、英國、加拿大或美國簽發的護照/ ID 證件才能訂閱該服務,但在接下來的幾個月中,將覆蓋更多國家並增加對更多文件的支持。
然而,該功能發布後卻引發了不少Web3用戶對隱私和安全的擔憂,尤其是涉及到存儲私鑰助記詞並與護照或ID 證件相關聯等操作,顯然違背了加密社區的隱私價值觀。比特幣工具開發公司Foundation 的內容負責人發文指出了Ledger 這個最新發布的加密貨幣託管解決方案的“危險性”。
據說,Ledger 這款新產品的核心是將用戶的助記詞進行碎片化處理並將助記詞分為三個部分再進行加密,同時還需要用戶提供自己的ID+自拍記錄,然後信任3 個託管人為你保護這些碎片信息。
但是,Ledger 這麼做是有問題的。
首先,為了使用這套“助記詞恢復”系統,你必須將自己的ID 身份信息於Ledger 賬戶進行關聯綁定,這會造成一個KYC 痛點,引發數據洩露、黑客攻擊、以及審查和監視等問題。
其次,你還需要信任第三方,並且把自己的ID 信息和涉及加密貨幣的信息交給第三方。在這種情況下很可能會發生數據洩漏或黑客攻擊,畢竟Ledger 用戶數據非常有價值(不管是現在還是未來),任何“授權第三方”都可能隨時決定利用您的數據作為收入來源.。
更重要的是,Ledger Recover 服務還會損害用戶隱私。目前大多數Ledger 用戶都選擇使用Ledger Live 軟件服務,該軟件會使用Ledger 節點將所有錢包進行同步,其中包含了錢包內加密貨幣活動的所有細節信息,相比於將自己的ID 與Ledger 賬戶綁定,使用Ledger Live 的用戶風險更高。
根據披露信息顯示,所有KYC 數據都是由一家名為“Onfido”的公司收集,該公司將處理KYC 信息驗證等事宜,當Ledger 用戶上傳/驗證身份時,他們會保留用戶ID、自拍視頻中的圖片/視頻/聲音,以及用戶設備和當前活動的整體圖片。
這意味著,Onfido 將全面掌握你的ID、以及你是Ledger 用戶的事實。當然,他們肯定知道你持有加密貨幣。 Onfido 還將全面掌握你用於身份驗證的設備信息,所以現在你不僅信任了Ledger 和“授權第三方”使用你的身份數據,你還信任Onfido 掌握了你的設備等更多其他信息。
所有這些操作,都很容易引發新威脅。下面,讓我們從技術角度來進一步分析。
從技術層面來看,用戶必須“ 100% ”信任Ledger,因為整個過程的代碼都是封閉且無法驗證的。雖然Ledger 聯合創始人Nicolas Bacca 稱其團隊計劃在未來開放其代碼,以讓用戶看到Ledger 的恢復服務是如何安全地加密用戶數據並在底層安全運行的,同時Ledger 也正在使其恢復服務完全可選擇並對與第三方託管機構的合作關係保持透明,但至少在本文撰寫時,Ledger 沒有對相關代碼進行開源,也就是說,除了Ledger 自己之外,沒有人可以驗證實際發生的事情/安全性。
如果一切如前所述,理論上用戶的助記詞永遠不會以未加密的狀態離開設備。但是,我們無法對此進行驗證並確保這些助記詞已安全完成或已正確加密。但有一點可以確認,即:現在代碼在你的Ledger 上運行,而且可以通過USB/BT 發送你的助記詞。換個角度來看,此時你的錢包將不再是所謂的“冷錢包”,而已是“從冷轉熱”。不僅如此,如果通過幾次按鍵就能把你的錢包變“熱”,也會給網絡釣魚和惡意軟件開闢大量新的攻擊媒介,黑客可能會在不知不覺過程中掌握到你的助記詞。
現階段,我們無法確定Ledger 是否內置了安全措施來防止有人將加密的碎片助記詞全部發送給一個人,或者發送給了3 個不同的託管人,也不能確定碎片助記詞是否只能由用戶自己來解密。
這裡還有一個問題,你無法獲知助記詞恢復過程、或者說解密過程是如何運作的。用戶必須登陸Ledger 並驗證身份,但如果解密只能在自己的設備上進行,那麼新設備如何獲得解密密鑰?
總結
一級標題
總結
總結
