最近,Ledger推出的 “Ledger恢复 “功能在其社区中引起了很大的争议和关注。该功能允许用户在种子短语丢失的情况下,通过将其分割成3个加密部分来恢复。然而,Ledger关于这项新功能的沟通受到了严厉的批评。
Ledger Recover引起争议
自从推出新的 “Ledger Recover “功能以来,这家同名公司一直在努力向其社区保证它是如何工作的。这是有原因的:这项功能基本上是提取用户的种子短语,然后将其分成三个独立的加密部分,以便在必要时可以重建。这种提取让一些人感到担心。
Ledger Recover是Nano X型号的独家产品(目前),它使用户在丢失种子短语时可以恢复。正如Ledger关于这个问题的文件所解释的那样,用户需要向Ledger选择的服务提供商,即Onfido和Electronic IDentification,核实他们的身份,以获得这项服务。Ledger方面表示,它不保留使用该解决方案的客户的任何身份信息。
一旦他们的身份得到验证,用户将不得不通过他们的Ledger Nano X手动批准这一过程,这就是所有的事情了。如果有关用户想恢复他们的种子,他们只需要让他们的身份得到验证,并从他们的电脑上将他们的Nano X连接到Ledger Recover。
Ledger保证这个过程是非常安全的,种子的切割部分(通过Shamir算法)在Ledger的服务提供商处被完全加密。最重要的是,它们的传输是完全独立的。
明显缺乏沟通
显然,Ledger应该就Ledger Recover的发布进行更好的沟通,而社交网络上不断涌现的负面评论就是证明。引起争议的原因之一是Ledger在2022年11月发布的一条推文,称用户的私钥无法从 “安全元素 “中提取,该芯片由Ledger设计,由意法半导体公司制造。
2022年11月:固件更新无法从安全元件中提取私钥 – Ledger
2023年5月:从技术上讲,编写有利于提取密钥的固件是而且一直是可能的–Ledger@Ledger,你现在明白这个问题了吗?pic.twitter.com/czG53SuCOu
– olimpio (@OlimpioCrypto) May 17, 2023
网络很快就火了起来,一个愤怒的用户在Reddit上发表的帖子(超过1000个赞和800个评论)就证明了这一点:
“我无法相信我所读到的,一个硬件钱包供应商鼓励你在网上保存你的种子短语,并把你的护照/身份证给他们,这似乎是绝对疯狂的–尤其是一个已经遭受数据泄露的公司!”![……]再一次,我无法相信。除了再次被黑客攻击的风险之外,除了它违背了从不分享你的种子和从不在线存储的事实之外,它还为一个全新的加密货币骗子打开了大门!”
Ledger在5月17日的推文中称,”一直以来都有可能编写启用密钥挖矿的固件代码”,后来被删除。相反,Ledger的支持部门正在将其社区转向Ledger首席技术官Charles Guillemet的一个长线,旨在解释硬件钱包如何工作
。
Eric Larchevêque想让用户放心
由于争议太大,Ledger的联合创始人兼前首席执行官Eric Larchevêque不得不在Reddit上发帖发表自己的看法(并证实该公司缺乏沟通):
“我不确定我是否正确。
“来到这个我九年前创建的subreddit,看到Ledger设备燃烧的图像、侮辱和大量的愤怒,我很受打击。说实话,我都快哭了。[我的第一步是作为联合创始人为发布会的处理方式道歉。[对我来说,这整个失败是一个完全的公关失败,但绝对不是一个技术失败。
他还声称,Ledger的安全模式根本没有改变:
#硬道理,许多专家花时间研究后都证实了这一点,那就是什么都没有改变。绝对没有任何变化。安全模式与你知道Ledger Recover之前是一样的。[……]改变的是你们中的一些人对不可信任的看法,事实证明,这比你们想象的要细微得多,由于这是一个如此敏感的话题,很多人非常生气,因为他们觉得自己被骗了。”
不管是什么情况,Ledger坚持认为其新功能完全是可选的,没有订阅这项服务的用户的种子不能以任何方式离开密钥。没有用户的手动同意,种子的零碎部分不能被转移。Charles Guillemet重申:”
“。
“实际上,在一个Ledger里面,有一个安全的元素,正是这个元素包含了钥匙、操作系统和应用程序。操作系统仍然需要密钥来进行交易签名,但这都是在用户同意的情况下进行的。”
