作者:区块律动BlockBeats
5 月 16 日,硬件钱包制造商 Ledger 发布了其版本更新,本次更新引入了一项名为「Ledger Recover」的服务。据悉,Ledger Recover 是一种基于 ID 的「可订阅式」密钥恢复服务,可为用户的私钥恢复助记词提供备份。目前 Ledger Recover 与 Ledger Nano X 兼容,可在运行最新 Ledger Live 版本的 Android 和 iOS 上使用。现可订阅该服务的用户需持有包括持有欧盟、英国、加拿大或美国签发的护照/ID。未来一段时间,该用户订阅范围将覆盖更多国家。
而 Ledger 也解释了该服务的具体情况,该功能将钱包助记词(密钥)分成三个部分(加密分片技术),并将分发给三个托管人:Ledger、加密货币托管公司 Coincover 和代码托管公司 EscrowTech。如果有人丢失了密钥,三个分片中的两个可以结合起来——等待身份检查——以重新获得对锁定资金的访问权。订阅该服务的价格是每月 9.99 美元。
以太坊柏林硬分叉之后,Ledger等公司受到客户端共识问题的影响:Ledger表示,由于柏林升级问题,用户在Ledger应用中的以太坊余额可能不会实时更新,并且不会显示新交易。其他公司的服务,包括BitGo和Coin Metrics,也受到了影响。[2021/4/15 20:24:11]
首先为大家普及一下硬件钱包一般是将私钥存储在安全的硬件设备中,与网络计算机等环境隔离起来,私钥不外漏,即插即用,而 Ledger 的举动彻底打破了我们对传统硬件钱包的认知。
关于该服务的信息发布后,引发了大批用户的反对和抵制,BlockBeats 总结了用户反对该服务的一些观点:
-作为硬件钱包,密钥不离开钱包是基础,而 Ledger 的新服务显然让很多可以自己保管密钥的用户接受不了,且订阅服务后,需要将你的密钥、个人身份全部都托管给其他机构,这些机构一旦出现问题(黑客攻击、信息被盗),托管的信息大概率不会完好无损;
Injective现已上线Ledger移动端:去中心化衍生品交易所Injective Protocol发推称,Injective现已上线Ledger移动端,桌面版本即将发布。[2020/12/12 14:59:41]
-订阅该服务需要国家的护照和 ID 验证,任何受「身份验证」保护的东西本质上都是不安全的,身份太容易造假了,且需要通过身份验证才可以确认用户密钥重建的请求,现今身份验证造假、被盗这些太稀疏平常,所以这不是一种安全的途径;
-该服务会将密钥分成三部分,这没什么问题,但问题是该服务将用户加密密钥的三部分发送到三个实体公司,他们完全可以重建用户密钥。在数学概率上讲,托管的第三方机构越多,出问题的概率就会指数般增长;
-大多数 Ledger 用户使用 Ledger Live,该应用会使用 Ledger 节点进行所有钱包同步,揭示用户加密活动的每个细节,你的资产和交易细节暴露在第三方,加上订阅服务后你的密钥和身份也在第三方托管,如此下去你的加密货币还是自己的吗?
动态 | FinNexus 2020年路线图:XRP Ledger将用于通证化资产发行:根据FinNexus2020年路线图,开放金融协议FinNexus打算利用XRP Ledger在协议开发方面将资产通证化。路线图指出,“我们可以求助于几个网络来创建一个资产支付协议组(PCAP),它可以连接不同的数字货币,包括Ripple和XRP。因此我们将尝试使用Interledger为FNX创建支付渠道。“作为今年连接至少两条公链计划的一部分,FinNexus声称,虽然Wanchain将用于区块链交互协议(BIP),但XRP Ledger将用于通证化资产发行。(AMBCrypto)[2020/1/19]
-我们不能确定 Ledger 是否内置了安全措施来防止有人将密钥三部分全部发送给一个实体,也不能确定他们以何种途径分发给三个实体,所以更不清楚的是恢复过程中的解密过程实际上是如何进行的;
动态 | Ledge Secure恶意扩展程序曝光 已有价值1.6万美金的加密货币遭窃:据降维安全实验室(johnwick.io)了解,一款基于Chrome的恶意扩展程序(Ledge Secure)成功进入Chrome商店,用户一旦安装此插件,当用户访问该在线钱包时,就会窃取用户私钥并将其发送给该扩展程序的开发人员。初步统计,黑客已通过此方式窃取价值16000美金的加密货币,目前,谷歌已经将该恶意程序从Chrome商店中删除,降维安全实验室在此建议广大用户及时排查,如有安装此插件请及时卸载,以免资产遭受损失。[2020/1/7]
-理论上,我知道你使用了 Ledger Recover 并获得了身份信息,以现在的技术手段通过身份验证并不难,你的加密资产也可以属于别人;
-宏观上看,需要考虑监管条件,EscrowTech 和 Ledger 是美国公司,Coincover 是英国公司,这些机构处于英美管辖范围之内,而美英对加密的监管一直是个问题,政府很容易上门索取所有持有人的身份信息,然后随意扣押资金。
动态 | Ledger开设纽约办事处以开发机构托管服务:据cointelegraph消息,加密货币硬件钱包制造商Ledger宣布将扩展到纽约,作为其提供Ledger Vault的机构托管开发的一部分。Ledger已任命洲际交易所(ICE)前高管Demetrios Skalkotos领导该项目的全球业务部门。[2018/11/26]
有趣的是,在 Ledger 刚发该服务的信息后,删除了一条内容。该内容意思是「Ledger 和我们信任的第三方无法访问用户密钥」。虽然后来 Ledger 解释了该条内容措辞不准,但这个解释多少有点牵强。
结合用户反馈,一个引人深思的问题浮现,该服务背后是追求用户订阅后的盈利,还是有某些监管机构强行要求 Ledger 这么做,如果是监管机构要求之下推出的功能,那么他们可以很容易获得用户 KYC 和数据并收回用户资产,这是非常可怕的一点。
还有一点是,该密钥三部分的使用和恢复都要在 Ledger 官网做验证(Email、身份信息、Onfido KYC),这家名为 Onfido 的公司处理 KYC 流程需要用户上传/验证身份时,他们还会保留用户 ID、自拍视频中的图片/视频/声音,以及设备和当前活动的整体图片。Onfido 全面了解用户身份以及你是 Ledger 用户的事实,因此当你持有相当大量的加密货币,他们还全面了解你用于身份验证的设备,上文也提到,声音/图片/视频这些并不是不可仿制的。
这真的安全吗?
所以 Ledger 该服务彻底打破了传统的硬件钱包机制,且间接出现了很多漏洞,其实硬件钱包的难题并不是突出起来的,此前硬件钱包巨头 Trezor 就出现过几分钟通过物理方法破解密钥的消息。所以市面上还有哪些硬件钱包可用呢?BlockBeats 整理了一些现今评价较好的硬件钱包如下:
OneKey 完全是一个完全开源的硬件钱包,它的内部系统的源代码大家都可以在 GitHub 上面找到,不存在后门的问题。且 OneKey 硬件钱包的使用体验是非常不错,外形一张银行卡一样大小,价格不是特别贵,可以轻松地放到钱包里。
Keystone 是一款基于二维码进行数据传输,可以实现助记词和私钥永不触网的硬件钱包,对于硬件钱包来说,很容易会受到攻击,但 Keystone 设计了多层自毁机制,来防止设备受到攻击,也就是说设备检测到有人在拆卸它时,自毁机制会将你的私钥信息和其他敏感信息立即清理掉,因此攻击者就无法获取用户的敏感信息,Keystone 与 MetaMask(扩展和移动版)以及其他顶级软件钱包如 Solflare、Sender、Fewcha 等集成。
当然,也有一些积极观点,该服务并不是强制更新的,用户具自主选择性,所以你可以继续使用你的 Ledger,还有观点表示,加密资产被盗太常见了,丢失密钥的概率远远超过密钥被盗窃的概率,而且每个月只需要 9.99 美元,何乐而不为。选择继续使用还是转战其他硬件钱包,这取决于你自己。
区块律动BlockBeats
媒体专栏
阅读更多
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
白话区块链
金色早8点
Odaily星球日报
Arcane Labs
欧科云链
标签:FTXSILSILORESLONDON Vault (NFTX)SILV价格Silo Financesorceressprotocol
文/StarkWare, 译/金色财经xiaozouStarkWare根据客户优先事项的不同,提供了一系列数据可用性(DA)模式供客户选择.
Aleo是第一个使用零知识证明解决隐私问题、同时保证可编程特性的公链。Aleo提供的隐私保护包括隐藏参与者、金额、智能合约等交互细节,而且Aleo还将智能合约执行转移到链下,支持各种Dapp,保.
当地时间 11 月 17 日,FTX 新任首席执行官 John Ray III 向美国特拉华州破产法院提交了一份文件,披露了 FTX 集团相关资产以及运营情况.
作者:Langston Thomas在短短一年多时间里,“无聊猿” Bored Ape Yacht Club (BAYC) 已然成为所有 NFT 系列中最大的品牌之一.
作者:蒋海波,PANews因为MEME和BRC-20代币的炒作,进入5月份以来,以太坊和比特币网络中的Gas费连续创下短期新高.
近日,国内数字藏品行业又有新玩家入场。世纪华通旗下游戏IP《传奇》改编的《传奇-烈焰裁决》将在国版链上推出游戏IP数字文创产品,公司研发的数字藏品平台“数河”也于近日上线.