logo

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

最新活動

web3 community

加入每日幣研 Telegram 群組,即時掌握幣圈最新資訊

HOT ARTICLES

熱門文章

    冷錢包 Ledger Recover 私鑰恢復功能暫緩上線|2FA 恢復助記詞為何引來強烈反彈?|虛擬貨幣錢包

    Kai

    2023/05/24

    冷錢包龍頭品牌之一 Ledger 在 5/16 宣布推出全新的 Ledger Recover 註記詞備份服務訂閱方案,每月 9.99 美元,只要你是歐盟、美國或加拿大地區的公民,就能透過護照、身份證和人臉辨識的雙重身分驗證(2FA),恢復助記詞,開始使用你的冷錢包。

    這個消息一發佈後,迅速引起 Ledger 的用戶與加密貨幣社群的反彈,紛紛表示要轉向使用另外幾個知名冷錢包品牌如 Trezor,Keystone 和 OneKey 的銷量更是在這幾天各自成長 10~20% 不等。逼得  Ledger CEO Pascal Gauthier 頻繁親上火線解釋推出新功能的目的,並在 5/23 宣布 Ledger Recover 暫緩上線。

    目前看來,大多數人對這個新服務並不買帳,就連 CZ 都出聲批評這樣的功能與冷錢包的設計初衷背道而馳。為什麼一個單純的新品發表會衍生成公關危機?這還得從冷錢包的本質說起。

     

    什麼是冷錢包?



    相較 MetaMesk、C98 等常見的熱錢包,冷錢包是通常以卡片、USB、硬碟或其他商品形式離線儲存私鑰的錢包。冷錢包在交易時,私鑰是透過 USB 或藍牙傳輸,與區塊鏈進行簽章互動。

    不連接網路的特性,使得駭客盜取難度相當高,也因為私鑰和助記詞都不受任何一方託管,用戶擁有完整的資產操作權限,被認為是目前最安全的加密貨幣儲存方式。

     

    如果還不熟悉區塊鏈的錢包種類,歡迎閱讀我們先前的介紹:

    虛擬貨幣錢包|冷錢包、熱錢包有何不同?|加密貨幣錢包的使用:https://cryptowesearch.com/blog/all/crypto-storage-cold-wallet-and-hot-wallet

     

    Ledger Recover 如何運作



    根據 Ledger 的官方介紹, Ledger Recover 需要先經過用戶本人的核准,才會開始備份助記詞。在用戶沒有同意之前,Ledger 不會備份,也未曾擁有用戶的助記詞。

    在用戶選擇開啟這項服務後,Ledger 會將你的 12 組助記詞拆成 3 份並各自加密,傳送到三間彼此不互通的服務商獨立保存,確保沒有一個第三方服務可以直接獲取你的完整助記詞。

    只有在用戶需要恢復服務的時候,Ledger 才會透過身份驗證將你的助記詞解密並重新組合,讓用戶成功取回私鑰。

    但這樣看似多了一層保障的服務,除了資安上的風險,還可能會衍生其他問題:


    身份驗證是一個脆弱的驗證方式

    Polygon 的資安長 Mudit Gupta 就在這次事件中評論道:偽造身份相當容易,所有仰賴身份驗證機制的東西都不安全。

    目前 Ledger Recover 採用身份證明文件+臉部辨識雙重驗證,即使不討論身份證明文件被盜用的情況幾乎每天都在發生,在 AI 快速發展的情況下,未來生物辨識是否仍舊是足夠安全的驗證方式,還有待商榷。


    看似去中心化,但事實上是交由企業託管

    無論將助記詞碎片化成多少份,分送給多少第三方服務商,Ledger 實際上都擁有集成助記詞以取得私鑰的功能。即使設計了分散機制,但用戶並無法監控這些功能實際上如何運作。

    雖然這些資產看似都分散在區塊鏈上,但把助記詞託付給特定公司,本質上就是將你的資產交給企業託管,與將資產放在中心化交易所幾乎無異。


    政府可能可以直接凍結你的資產



    在近年的烏俄戰爭中,我們可以看到各國政府頻繁透過凍結資產對特定人士進行經濟制裁。無論與 Ledger 合作的第三方服務商是誰,只要是美國企業,就必須受到美國法律的規範。

    Ledger 的共同創辦人,前 CEO 就在這次的討論中表示,若你將助記詞交由第三方托管,政府確實可能可以透過法律凍結,甚至以傳票向公司取得你的助記詞和資產。

     

    就這三點來看,這樣的功能將會讓區塊鏈失去匿名、無階級、無國界、去中心化的意義。

     

    Ledger 緊急喊卡止血:延後功能上線時間,發布開源路線圖



    在經過近一個禮拜多次 AMA 溝通與沈澱後,Ledger 宣布延後 Ledger Recover 上線的時間,並公佈了接下來的開源路線圖。表示除了原先就已經公佈的 150 個 Ledger Nano App 與 Ledger Live 的產品程式碼外,將會加速開源其他功能與服務的程式碼,其中包括本次的爭議核心 Ledger Recover。

    如同智能合約能被公開審視安全性一樣,Pascal 在公開信中表示,Ladger Recover 的程式碼將會經過第三方安全團隊的審計並陸續開源,用戶可以自行驗證程式碼內容,來決定是否啟用相關服務。希望能逐步挽回社群對於 Ledger 的信心。


    但 Ledger Recover 產品 TA 本來就不是你我

    即使多數人並不看好,Ledger 依舊再次重申他們認為 Ledger Recovey 功能對產業的必要性,強調 Ledger 的任務是確保區塊鏈用戶擁有對數位資產的自主權,並讓加密貨幣的安全服務的能便於使用。

    不難推測,Ledger 推出 Ledger Recover 服務的主要受眾並不是那些對本身就對區塊鏈資安有高度意識的 Web 3 原生玩家。這個新功能對他們來說不僅雞肋,還可能造成額外的安全隱憂。

    這樣的功能更可能是為了迎接 Web 3 的新生用戶。區塊鏈錢包除了使用者體驗不佳、介面操作不直覺外,對習慣聯絡客服或使用手機信箱就可以恢復帳號密碼的 Web 2 用戶來說,要保存 12 組以上的註記詞是一個不小的門檻,一旦弄丟或忘記了就等同資產遺失,對初次接觸區塊鏈的人來說更是相當驚悚的概念。

     

     

    就像 Pascal Gauthier 在公開信和 Twitter Space 中說的:

     

    We need this together, in the right way.

    這就是未來的客戶想要的。這將會是接下來數億人加入加密貨幣的方式。


    小結:資安至上派 VS 擴大採用派的永恆辯論

    在過往的經驗當中,無論是哪個產業,推出橫掃市場的殺手級產品時,通常不見得是技術上的重大更新,而是用戶體驗上的高度優化。因為降低使用門檻,提升易用性,才真的有可能迎來大量用戶。

    Ledger Recover 本次開發的新服務,目的在於提升用戶體驗,作為推廣 Web 3 的一種商業解決方案,但顯然與目前加密貨幣的主流共識 Not Your Keys, Not Your Coins 的精神背道而馳。

    隨著區塊鏈的用戶數量逐漸成長,我們看到越來越多能夠透過信箱或 Web 2 社群帳號一鍵生成註冊,並串連銀行帳戶或是信用卡支付的熱錢包產品。可以預期的是,未來將會有更多這類型中介性質的功能或服務,透過讓渡部分安全性來換取便利性。一萬個人使用區塊鏈就可能有一萬種需求,很難論斷這樣的發展方向是對是錯。

    這樣的爭論並不是第一次發生,相信也不會是最後一次。對大部分相信區塊鏈潛力與可能性的人來說,只能持續討論,不放棄尋找其他更好的可能性,大概就是最符合 Web 3 的精神參與方式了。

    Kai

    主要關注 DePIN、AI、Crypto Gaming、 RWA。因為投機而來,留下來是想知道會發生什麼好玩的事。

    什麼是冷錢包?

    每日幣研 市場週報

    每週兩則電子報,全方位從總體經濟、鏈上數據、融資近況、項目動向快速解讀加密貨幣市場

    訂閱週報

    logo

    首頁

    全部文章關於我們聯絡我們網站聲明 隱私權政策

    HK

    TW

    ©台灣每日幣研版權所有