logo

新手教學

投資理財

區塊百科

賽道專題

幣種分析

優惠福利

市場週報

活動優惠搜尋

NEW EVENT

最新活動

OKX

幣安

web3 community

加入每日幣研 Telegram 群組,即時掌握幣圈最新資訊

HOT ARTICLES

熱門文章

    Featured Articles

    專題精選

    PolitiFi
    BTC
    Meme 迷因幣
    AI
    DeFi
    DePIN

      冷錢包 Ledger Recover 私鑰恢復功能暫緩上線|2FA 恢復助記詞為何引來強烈反彈?|虛擬貨幣錢包

      Kai

      2023/05/24

      冷錢包龍頭品牌之一 Ledger 在 5/16 宣布推出全新的 Ledger Recover 註記詞備份服務訂閱方案,每月 9.99 美元,只要你是歐盟、美國或加拿大地區的公民,就能透過護照、身份證和人臉辨識的雙重身分驗證(2FA),恢復助記詞,開始使用你的冷錢包。

      這個消息一發佈後,迅速引起 Ledger 的用戶與加密貨幣社群的反彈,紛紛表示要轉向使用另外幾個知名冷錢包品牌如 Trezor,Keystone 和 OneKey 的銷量更是在這幾天各自成長 10~20% 不等。逼得  Ledger CEO Pascal Gauthier 頻繁親上火線解釋推出新功能的目的,並在 5/23 宣布 Ledger Recover 暫緩上線。

      目前看來,大多數人對這個新服務並不買帳,就連 CZ 都出聲批評這樣的功能與冷錢包的設計初衷背道而馳。為什麼一個單純的新品發表會衍生成公關危機?這還得從冷錢包的本質說起。

       

      什麼是冷錢包?



      相較 MetaMesk、C98 等常見的熱錢包,冷錢包是通常以卡片、USB、硬碟或其他商品形式離線儲存私鑰的錢包。冷錢包在交易時,私鑰是透過 USB 或藍牙傳輸,與區塊鏈進行簽章互動。

      不連接網路的特性,使得駭客盜取難度相當高,也因為私鑰和助記詞都不受任何一方託管,用戶擁有完整的資產操作權限,被認為是目前最安全的加密貨幣儲存方式。

       

      如果還不熟悉區塊鏈的錢包種類,歡迎閱讀我們先前的介紹:

      虛擬貨幣錢包|冷錢包、熱錢包有何不同?|加密貨幣錢包的使用:https://cryptowesearch.com/blog/all/crypto-storage-cold-wallet-and-hot-wallet

       

      Ledger Recover 如何運作



      根據 Ledger 的官方介紹, Ledger Recover 需要先經過用戶本人的核准,才會開始備份助記詞。在用戶沒有同意之前,Ledger 不會備份,也未曾擁有用戶的助記詞。

      在用戶選擇開啟這項服務後,Ledger 會將你的 12 組助記詞拆成 3 份並各自加密,傳送到三間彼此不互通的服務商獨立保存,確保沒有一個第三方服務可以直接獲取你的完整助記詞。

      只有在用戶需要恢復服務的時候,Ledger 才會透過身份驗證將你的助記詞解密並重新組合,讓用戶成功取回私鑰。

      但這樣看似多了一層保障的服務,除了資安上的風險,還可能會衍生其他問題:


      身份驗證是一個脆弱的驗證方式

      Polygon 的資安長 Mudit Gupta 就在這次事件中評論道:偽造身份相當容易,所有仰賴身份驗證機制的東西都不安全。

      目前 Ledger Recover 採用身份證明文件+臉部辨識雙重驗證,即使不討論身份證明文件被盜用的情況幾乎每天都在發生,在 AI 快速發展的情況下,未來生物辨識是否仍舊是足夠安全的驗證方式,還有待商榷。


      看似去中心化,但事實上是交由企業託管

      無論將助記詞碎片化成多少份,分送給多少第三方服務商,Ledger 實際上都擁有集成助記詞以取得私鑰的功能。即使設計了分散機制,但用戶並無法監控這些功能實際上如何運作。

      雖然這些資產看似都分散在區塊鏈上,但把助記詞託付給特定公司,本質上就是將你的資產交給企業託管,與將資產放在中心化交易所幾乎無異。


      政府可能可以直接凍結你的資產



      在近年的烏俄戰爭中,我們可以看到各國政府頻繁透過凍結資產對特定人士進行經濟制裁。無論與 Ledger 合作的第三方服務商是誰,只要是美國企業,就必須受到美國法律的規範。

      Ledger 的共同創辦人,前 CEO 就在這次的討論中表示,若你將助記詞交由第三方托管,政府確實可能可以透過法律凍結,甚至以傳票向公司取得你的助記詞和資產。

       

      就這三點來看,這樣的功能將會讓區塊鏈失去匿名、無階級、無國界、去中心化的意義。

       

      Ledger 緊急喊卡止血:延後功能上線時間,發布開源路線圖



      在經過近一個禮拜多次 AMA 溝通與沈澱後,Ledger 宣布延後 Ledger Recover 上線的時間,並公佈了接下來的開源路線圖。表示除了原先就已經公佈的 150 個 Ledger Nano App 與 Ledger Live 的產品程式碼外,將會加速開源其他功能與服務的程式碼,其中包括本次的爭議核心 Ledger Recover。

      如同智能合約能被公開審視安全性一樣,Pascal 在公開信中表示,Ladger Recover 的程式碼將會經過第三方安全團隊的審計並陸續開源,用戶可以自行驗證程式碼內容,來決定是否啟用相關服務。希望能逐步挽回社群對於 Ledger 的信心。


      但 Ledger Recover 產品 TA 本來就不是你我

      即使多數人並不看好,Ledger 依舊再次重申他們認為 Ledger Recovey 功能對產業的必要性,強調 Ledger 的任務是確保區塊鏈用戶擁有對數位資產的自主權,並讓加密貨幣的安全服務的能便於使用。

      不難推測,Ledger 推出 Ledger Recover 服務的主要受眾並不是那些對本身就對區塊鏈資安有高度意識的 Web 3 原生玩家。這個新功能對他們來說不僅雞肋,還可能造成額外的安全隱憂。

      這樣的功能更可能是為了迎接 Web 3 的新生用戶。區塊鏈錢包除了使用者體驗不佳、介面操作不直覺外,對習慣聯絡客服或使用手機信箱就可以恢復帳號密碼的 Web 2 用戶來說,要保存 12 組以上的註記詞是一個不小的門檻,一旦弄丟或忘記了就等同資產遺失,對初次接觸區塊鏈的人來說更是相當驚悚的概念。

       

       

      就像 Pascal Gauthier 在公開信和 Twitter Space 中說的:

       

      We need this together, in the right way.

      這就是未來的客戶想要的。這將會是接下來數億人加入加密貨幣的方式。


      小結:資安至上派 VS 擴大採用派的永恆辯論

      在過往的經驗當中,無論是哪個產業,推出橫掃市場的殺手級產品時,通常不見得是技術上的重大更新,而是用戶體驗上的高度優化。因為降低使用門檻,提升易用性,才真的有可能迎來大量用戶。

      Ledger Recover 本次開發的新服務,目的在於提升用戶體驗,作為推廣 Web 3 的一種商業解決方案,但顯然與目前加密貨幣的主流共識 Not Your Keys, Not Your Coins 的精神背道而馳。

      隨著區塊鏈的用戶數量逐漸成長,我們看到越來越多能夠透過信箱或 Web 2 社群帳號一鍵生成註冊,並串連銀行帳戶或是信用卡支付的熱錢包產品。可以預期的是,未來將會有更多這類型中介性質的功能或服務,透過讓渡部分安全性來換取便利性。一萬個人使用區塊鏈就可能有一萬種需求,很難論斷這樣的發展方向是對是錯。

      這樣的爭論並不是第一次發生,相信也不會是最後一次。對大部分相信區塊鏈潛力與可能性的人來說,只能持續討論,不放棄尋找其他更好的可能性,大概就是最符合 Web 3 的精神參與方式了。

      Kai

      主要關注 DePIN、AI、Crypto Gaming、 RWA。因為投機而來,留下來是想知道會發生什麼好玩的事。

      什麼是冷錢包?

      每日幣研 市場週報

      每週兩則電子報,全方位從總體經濟、鏈上數據、融資近況、項目動向快速解讀加密貨幣市場

      訂閱週報

      logo

      首頁

      全部文章關於我們聯絡我們網站聲明 隱私權政策

      HK

      TW

      ©台灣每日幣研版權所有