关键点:
- 通过新的 Ledger Recover 升级,硬件加密钱包现在提供订阅服务,让您可以安全地存储您的恢复助记词。
- 尽管如此,该消息还是受到了 Web3 社区一部分人的猛烈攻击。
- Ledger Recover 本质上是加密用户的助记词并将其分成三部分,每部分都与一个单独的保管人共享。
Ledger 在宣布打算推出 Ledger Recover 后,本周陷入了困境,Ledger Recover 是 Ledger Nano X 钱包用户的可选付费会员服务,提供涉及第三方保管人的种子短语恢复方法。 据该公司称,这项新功能是一项突破,它将使加密货币和 NFT 持有者能够在丢失或忘记种子短语的情况下取回他们的资金。
然而,这一消息遭到了 Web3 社区的一部分人的强烈谴责,他们声称允许现有服务的固件升级违反了 Ledger 确保用户私钥永远不会离开设备的长期政策。 这些问题让人怀疑钱包声称致力于保护隐私和安全,该公司拒绝了这一点。
Ledger于2.2.1月16日推出了Nano X冷钱包XNUMX固件升级,其中包含一个名为“Ledger Recover”的密钥助记词恢复工具,作为基于ID的密钥恢复服务。
备份用户的私钥以恢复助记词,需要会员资格(每月 9.99 美元)才能使用。 目前,订阅该服务需要欧盟、英国、加拿大或美国护照/身份证件,但未来几个月将支持更多国家和文件。
尽管如此,此功能的发布已促使许多 Web3 用户关注隐私和安全,特别是因为它需要存储私钥助记词并将其与护照或身份证件相关联,这显然与加密社区的隐私理想相矛盾。
有争议的新功能
Ledger 是世界上最著名和最受欢迎的硬件钱包生产商之一,价值超过 1 亿美元,估计年销售额超过 53 万美元。 硬件钱包,通常被称为“冷存储”设备,是一种类似 USB 拇指驱动器的设备,提供了一种高度安全的方法来存储加密货币。 它们被认为比 MetaMask 和 WalletConnect 等“热钱包”竞争对手更可取,后者使用起来更简单,但缺点是将私钥保存在网上,使他们面临更大的危险。
设置 Ledger 钱包需要生成一个独特的种子短语,这是一组随机生成的单词,用作加密钱包的私钥。 虽然安全,但该系统存在可用性问题。 丢失种子短语意味着无法使用这笔钱,如果钱落入坏人之手,可能会导致钱包泄露。
据介绍,这项新功能的基础是将用户的助记词进行分片,分成三份再进行加密。 同时,消费者必须提供自己的身份证件和自拍记录,并信任三个保管人。 人类为你保护这些信息。
然而,Ledger 这样做存在一个问题。
首先,为了使用这种“助记词恢复”方法,您必须将您的 ID 识别信息与您的帐户相关联,从而导致 KYC 痛点、数据泄露、黑客攻击、审查和监视。
其次,您必须信任第三方并向他们提供您的身份信息以及有关加密现金的知识。 在这种情况下很可能发生数据泄露或黑客攻击; 毕竟,用户数据非常有价值(无论是现在还是将来),任何“认可的第三方”都可能随时决定利用您的数据作为金钱来源。
此外,恢复功能会危害用户隐私。 目前大多数用户选择使用Ledger Live软件服务,该服务会使用Ledger节点同步所有钱包,其中包含钱包中加密货币活动的所有详细信息,使用Ledger Live的用户比绑定用户的风险更高自己的ID到Leger账户。
一位安全分析师吹捧一个存储完全不可触及和不可移动的私钥的小工具,然后突然透露该密钥可能会被访问并与其他方共享,这与大多数 Web3 社区的意见不符。
特别令人沮丧的是,用户需要出示政府颁发的 ID 才能参与 Recover。
升级的披露激起了加密世界的愤怒,人们指责 Ledger 的新功能与之前关于将私钥远离互联网的保证相矛盾。
其他认为怀疑者夸大其词的人提到了这样一个事实,即钱包本质上是可升级的,以减轻对其可访问性和安全性的担忧,并首先澄清钱包如何运作的基本原理。 如果硬件钱包无法更新,它们将失去用处,因为区块链本身会随着时间的推移而改进,并且与区块链交互的任何设备都必须能够适当地适应。
无论订阅服务是与否,都表明在 Web3 的快速响应环境中解释新功能的困难。 与之前的许多其他辩论一样,恢复辩论突出了以区块链为中心的企业所面临的持续斗争; 在用户体验和尊重加密社区的基本信仰之间取得平衡是一项艰巨的任务。
Ledger 会跟踪您的助记词吗?
Ledger Recover 的升级声称可以加密您的助记词并将其拆分为三个部分。 之后,您将提供身份证明和自拍视频,三个独立的保管人将为您保护碎片。 Ledger、Coincover 和第三家公司将担任托管人。 它强调这是一项补充服务,客户可以像以前一样继续携带恢复助记词。 这一变化在 Twitter 上激起了几位互联网隐私活动家的愤怒。
为什么是危险的?
根据提供的信息,所有 KYC 数据均由一家名为“Onfido”的公司收集,该公司将处理 KYC 信息验证等事宜。 当 Ledger 用户上传/验证他们的身份时,用户 ID、自拍视频、照片/视频/声音以及用户设备和当前活动的整体图片将被保留。
这意味着 Onfido 将可以完全访问您的 ID 以及您是 Ledger 用户的信息。 当然,他们知道你有加密货币。 Onfido 还将全面了解您使用的身份验证设备,因此您现在不仅可以信任 Ledger 和“经批准的第三方”使用您的身份数据,还可以信任 Onfido 可以使用您的设备等。
所有这些行动都有可能产生新的风险。 现在让我们从技术角度来看。
用户必须从技术角度“100%”信任Ledger,因为整个过程的代码是封闭的,不可验证的。 尽管 Ledger 联合创始人 Nicolas Bacca 表示,他的团队打算在未来开放其代码,让客户能够查看钱包的恢复服务如何安全地加密用户数据并在幕后安全运行,但该公司也正在公开其恢复服务可用的。 选择并提前与第三方托管人达成协议,但是,在撰写本文时,Ledger 尚未开源所需的代码,这意味着除了 Ledger 之外没有人可以验证正在发生的事情/安全性。
如果一切按计划进行,用户的助记词永远不会让设备处于未加密状态。 然而,我们无法确认这一点或保证种子短语已正确完成或加密。
但有一点是肯定的:代码现在正在你的Ledger上运行,你可以通过USB/BT传输你的助记词。 从另一个角度来看,此时你的钱包将不再是“冷钱包”,而是“从冷到热的过渡”。 不仅如此,只需敲几下键盘就可以“加热”你的钱包,这会开启一系列新的网络钓鱼和恶意软件攻击途径,黑客可能会在这些途径中意外获取你的助记词。
我们无法确定 Ledger 是否有内置的安全保护措施来防止有人将加密的分片助记词传输给一个人、三个不同的保管人,或者分片助记词是否只能由用户自己解码。
另一个问题是您不确定助记词恢复或解密过程如何运作。 用户必须登录Ledger并确认身份,但由于解密只能在自己的设备上进行,新设备如何获得解密密钥?
通常有一种机制可以授权新设备并在端到端加密(E2EE)情况下向其发送解密密钥,但是在丢失分类帐的情况下,用户实际上无法这样做,因此其他人必须有他们发送到的设备。 助记符恢复需要您的 Ledger 解密密钥的副本。
在这种情况下,谁持有解密密钥? 这是账本吗? 还是在Ledger Recover和身份验证后加密存储在别处? 如果是这种情况,解密密钥是如何保存、加密和验证的?
此外,如果有人发现你使用了 Ledger Recover 并获得了你的 ID,他们可能会拿走你所有的加密货币,即使你的 Ledger 安全且完好地放在某个抽屉里。
值得注意的是,上述 Ledger Recover 的托管人 CoinCover 和 Onfido 均位于英国。 原始文件中没有提到另一名托管人,但据报道,美国的 EscrowTech 就是其中之一。 如果故事属实,就意味着你将受到“五眼情报”的管辖。
结论
该问题最令人担忧的方面是 Ledger 及其用户之间明显失去信心,这是由该公司的断言中的差异引发的。
另一方面,选择恢复升级的用户将把他们的身份连接到他们的加密货币钱包,使体验更接近于通过了解你的客户 (KYC) 检查进行集中交易的体验。
Onfido 收集所有 KYC 信息。 当您上传/验证您的身份时,该公司还会执行 KYC 入职并跟踪您的设备和当前行为。 您不仅信任 Ledger 和其他授权方,而且还信任 Onfido 处理您的敏感信息。 这是一场灾难吗?
Ledger 首次推出 Recover 服务可能不是一个明智的主意,因为它违反了使用硬件钱包(冷存储)的所有概念并涉及 KYC。 同时,“非开源”的方式让很多 Web3 用户对其宣称持怀疑态度。
免责声明: 本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
哈罗德
钱库 新闻
作者
知识库
为什么Ledger的新恢复功能引起争议?
关键点:
- 通过新的 Ledger Recover 升级,硬件加密钱包现在提供订阅服务,让您可以安全地存储您的恢复助记词。
- 尽管如此,该消息还是受到了 Web3 社区一部分人的猛烈攻击。
- Ledger Recover 本质上是加密用户的助记词并将其分成三部分,每部分都与一个单独的保管人共享。
Ledger 在宣布打算推出 Ledger Recover 后,本周陷入了困境,Ledger Recover 是 Ledger Nano X 钱包用户的可选付费会员服务,提供涉及第三方保管人的种子短语恢复方法。 据该公司称,这项新功能是一项突破,它将使加密货币和 NFT 持有者能够在丢失或忘记种子短语的情况下取回他们的资金。
然而,这一消息遭到了 Web3 社区的一部分人的强烈谴责,他们声称允许现有服务的固件升级违反了 Ledger 确保用户私钥永远不会离开设备的长期政策。 这些问题让人怀疑钱包声称致力于保护隐私和安全,该公司拒绝了这一点。
Ledger于2.2.1月16日推出了Nano X冷钱包XNUMX固件升级,其中包含一个名为“Ledger Recover”的密钥助记词恢复工具,作为基于ID的密钥恢复服务。
备份用户的私钥以恢复助记词,需要会员资格(每月 9.99 美元)才能使用。 目前,订阅该服务需要欧盟、英国、加拿大或美国护照/身份证件,但未来几个月将支持更多国家和文件。
尽管如此,此功能的发布已促使许多 Web3 用户关注隐私和安全,特别是因为它需要存储私钥助记词并将其与护照或身份证件相关联,这显然与加密社区的隐私理想相矛盾。
有争议的新功能
Ledger 是世界上最著名和最受欢迎的硬件钱包生产商之一,价值超过 1 亿美元,估计年销售额超过 53 万美元。 硬件钱包,通常被称为“冷存储”设备,是一种类似 USB 拇指驱动器的设备,提供了一种高度安全的方法来存储加密货币。 它们被认为比 MetaMask 和 WalletConnect 等“热钱包”竞争对手更可取,后者使用起来更简单,但缺点是将私钥保存在网上,使他们面临更大的危险。
设置 Ledger 钱包需要生成一个独特的种子短语,这是一组随机生成的单词,用作加密钱包的私钥。 虽然安全,但该系统存在可用性问题。 丢失种子短语意味着无法使用这笔钱,如果钱落入坏人之手,可能会导致钱包泄露。
据介绍,这项新功能的基础是将用户的助记词进行分片,分成三份再进行加密。 同时,消费者必须提供自己的身份证件和自拍记录,并信任三个保管人。 人类为你保护这些信息。
然而,Ledger 这样做存在一个问题。
首先,为了使用这种“助记词恢复”方法,您必须将您的 ID 识别信息与您的帐户相关联,从而导致 KYC 痛点、数据泄露、黑客攻击、审查和监视。
其次,您必须信任第三方并向他们提供您的身份信息以及有关加密现金的知识。 在这种情况下很可能发生数据泄露或黑客攻击; 毕竟,用户数据非常有价值(无论是现在还是将来),任何“认可的第三方”都可能随时决定利用您的数据作为金钱来源。
此外,恢复功能会危害用户隐私。 目前大多数用户选择使用Ledger Live软件服务,该服务会使用Ledger节点同步所有钱包,其中包含钱包中加密货币活动的所有详细信息,使用Ledger Live的用户比绑定用户的风险更高自己的ID到Leger账户。
一位安全分析师吹捧一个存储完全不可触及和不可移动的私钥的小工具,然后突然透露该密钥可能会被访问并与其他方共享,这与大多数 Web3 社区的意见不符。
特别令人沮丧的是,用户需要出示政府颁发的 ID 才能参与 Recover。
升级的披露激起了加密世界的愤怒,人们指责 Ledger 的新功能与之前关于将私钥远离互联网的保证相矛盾。
其他认为怀疑者夸大其词的人提到了这样一个事实,即钱包本质上是可升级的,以减轻对其可访问性和安全性的担忧,并首先澄清钱包如何运作的基本原理。 如果硬件钱包无法更新,它们将失去用处,因为区块链本身会随着时间的推移而改进,并且与区块链交互的任何设备都必须能够适当地适应。
无论订阅服务是与否,都表明在 Web3 的快速响应环境中解释新功能的困难。 与之前的许多其他辩论一样,恢复辩论突出了以区块链为中心的企业所面临的持续斗争; 在用户体验和尊重加密社区的基本信仰之间取得平衡是一项艰巨的任务。
Ledger 会跟踪您的助记词吗?
Ledger Recover 的升级声称可以加密您的助记词并将其拆分为三个部分。 之后,您将提供身份证明和自拍视频,三个独立的保管人将为您保护碎片。 Ledger、Coincover 和第三家公司将担任托管人。 它强调这是一项补充服务,客户可以像以前一样继续携带恢复助记词。 这一变化在 Twitter 上激起了几位互联网隐私活动家的愤怒。
为什么是危险的?
根据提供的信息,所有 KYC 数据均由一家名为“Onfido”的公司收集,该公司将处理 KYC 信息验证等事宜。 当 Ledger 用户上传/验证他们的身份时,用户 ID、自拍视频、照片/视频/声音以及用户设备和当前活动的整体图片将被保留。
这意味着 Onfido 将可以完全访问您的 ID 以及您是 Ledger 用户的信息。 当然,他们知道你有加密货币。 Onfido 还将全面了解您使用的身份验证设备,因此您现在不仅可以信任 Ledger 和“经批准的第三方”使用您的身份数据,还可以信任 Onfido 可以使用您的设备等。
所有这些行动都有可能产生新的风险。 现在让我们从技术角度来看。
用户必须从技术角度“100%”信任Ledger,因为整个过程的代码是封闭的,不可验证的。 尽管 Ledger 联合创始人 Nicolas Bacca 表示,他的团队打算在未来开放其代码,让客户能够查看钱包的恢复服务如何安全地加密用户数据并在幕后安全运行,但该公司也正在公开其恢复服务可用的。 选择并提前与第三方托管人达成协议,但是,在撰写本文时,Ledger 尚未开源所需的代码,这意味着除了 Ledger 之外没有人可以验证正在发生的事情/安全性。
如果一切按计划进行,用户的助记词永远不会让设备处于未加密状态。 然而,我们无法确认这一点或保证种子短语已正确完成或加密。
但有一点是肯定的:代码现在正在你的Ledger上运行,你可以通过USB/BT传输你的助记词。 从另一个角度来看,此时你的钱包将不再是“冷钱包”,而是“从冷到热的过渡”。 不仅如此,只需敲几下键盘就可以“加热”你的钱包,这会开启一系列新的网络钓鱼和恶意软件攻击途径,黑客可能会在这些途径中意外获取你的助记词。
我们无法确定 Ledger 是否有内置的安全保护措施来防止有人将加密的分片助记词传输给一个人、三个不同的保管人,或者分片助记词是否只能由用户自己解码。
另一个问题是您不确定助记词恢复或解密过程如何运作。 用户必须登录Ledger并确认身份,但由于解密只能在自己的设备上进行,新设备如何获得解密密钥?
通常有一种机制可以授权新设备并在端到端加密(E2EE)情况下向其发送解密密钥,但是在丢失分类帐的情况下,用户实际上无法这样做,因此其他人必须有他们发送到的设备。 助记符恢复需要您的 Ledger 解密密钥的副本。
在这种情况下,谁持有解密密钥? 这是账本吗? 还是在Ledger Recover和身份验证后加密存储在别处? 如果是这种情况,解密密钥是如何保存、加密和验证的?
此外,如果有人发现你使用了 Ledger Recover 并获得了你的 ID,他们可能会拿走你所有的加密货币,即使你的 Ledger 安全且完好地放在某个抽屉里。
值得注意的是,上述 Ledger Recover 的托管人 CoinCover 和 Onfido 均位于英国。 原始文件中没有提到另一名托管人,但据报道,美国的 EscrowTech 就是其中之一。 如果故事属实,就意味着你将受到“五眼情报”的管辖。
结论
该问题最令人担忧的方面是 Ledger 及其用户之间明显失去信心,这是由该公司的断言中的差异引发的。
另一方面,选择恢复升级的用户将把他们的身份连接到他们的加密货币钱包,使体验更接近于通过了解你的客户 (KYC) 检查进行集中交易的体验。
Onfido 收集所有 KYC 信息。 当您上传/验证您的身份时,该公司还会执行 KYC 入职并跟踪您的设备和当前行为。 您不仅信任 Ledger 和其他授权方,而且还信任 Onfido 处理您的敏感信息。 这是一场灾难吗?
Ledger 首次推出 Recover 服务可能不是一个明智的主意,因为它违反了使用硬件钱包(冷存储)的所有概念并涉及 KYC。 同时,“非开源”的方式让很多 Web3 用户对其宣称持怀疑态度。
免责声明: 本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
哈罗德
钱库 新闻
