回看板
Disp BBS
作者 MRjk ()
標題 Re: [新聞] Ledger助記詞恢復功能爭議整理
時間 Thu May 18 00:34:47 2023

這下爭議很大了  影響遠比Google authenticator開放雲端備份嚴重的多

因為Google authenticator私鑰本來就存在手機裡 大家預期的安全性不會太高

但Ledger的硬體錢包  一直以來的賣點主打就是

"私鑰永遠不會離開你的硬體裝置"
"任何對實體進行電壓/雷射/輻射精密測量也無法取出私鑰"
https://i.imgur.com/AiuD3we.png
[圖]

這意思一般人都會認為是受到最高硬體IC層級的保護

就算是Ledger原廠拿到你的硬體錢包裝置本身  他也無法導出私鑰明文

但這個安全性假設在今天被完全破壞了

Ledger原廠開放了一項新的訂閱服務  只要月付10鎂 升級韌體後

就能幫你把"現有"硬體錢包裡的"私鑰"完整導出 加密並拆分給三家雲端保存

這對不打算用這服務的人也是一個晴天霹靂的消息

代表Ledger完全自打臉他上述的2項廣告聲明

原來硬體錢包裡的私鑰在初始化設置完成後並不是不可被提取出來的

今天只要Ledger願意 它可以出一個韌體更新導出私鑰(*號稱加密過)


同時也代表了改天Ledger隨時都有能力再出一個韌體更新 導出私鑰的明文版本


或是簽署韌體的私鑰被駭  駭客直接能用新韌體取得私鑰明文

瞬間Ledger硬體錢包的安全性 從"硬體"降階為"對Ledger這間公司本身軟體開發的信任"

那跟用一般軟體錢包  也差不了多遠了

簡單來說大家今天才發現從頭到尾就只是韌體保護  卻一直宣傳誤導私鑰是由硬體IC保護

這才是現在各幣圈大佬氣憤的地方




是說氣憤歸氣憤  現在也還不知道哪一家硬體錢包能代替 照國外討論區的說法

現在可能沒有任何一個硬體錢包是真正安全的

只能再觀察看看這部分的市場缺口之後會由誰補上

在那之前只能先勸大家不要隨便更新手上Ledger硬體錢包的韌體


--
現在Ledger Twitter/Reddit討論區整個被炎上

客服只能虛弱無力的玩文字遊戲

"私鑰從未離開硬體錢包   導出硬體錢包的是私鑰的加密後版本"




※ 引述《tadashi1024 (只要50圓)》之銘言:
: 新聞來源連結:https://abmedia.io/ledger-recovery-controversy
: 新聞本文:
: 加密硬體錢包商 Ledger 於昨日 (16) 宣布將為旗下冷錢包產品推出「Ledger 恢復」功
: 能,這是一個透過多間第三方公司進行託管的助記詞恢復服務。儘管此功能看似為用戶帶
: 來多一層保護,但卻引起加密社群諸多批評,而在 Ledger 的回應中,可感受到他們是為
: 了公司「錢途」才這麼做的。
: Ledger 助記詞恢復功能介紹
: Ledger 此次推出的助記詞恢復功能是個可選擇的訂閱服務,若用戶使用此功能,其冷錢
: 包的助記詞便會進行加密並分成三個片段,各片段將由不同的第三方機構託管,分別為加
: 密保險公司 Coincover、Ledger 及一個獨立的備份服務提供商。
: 若用戶意外遺失自己的錢包助記詞,只要通過身份驗證,其中兩間託管方便會將加密的助
: 記詞片段發送回用戶的 Ledger 設備,使其可以重新組合成原有助記詞。
: Ledger 助記詞恢復功能引發批評
: 儘管此功能似乎為用戶提供了多一層保險,但同時也踩到那些認為「冷錢包,就是要冷到
: 底」的人的底線。另外,身份驗證的可靠性、Ledger 的資安風控水準也成為社群討論的
: 重點,並為 Ledger 引來了不少質疑聲浪。
: Polygon 的資安長 Mudit Gupta 於 Twitter 上表示:「任何受『身份驗證』所保護的東
: 西本質上都不太安全,因為太容易造假了。」
: 其呼籲用戶不要使此功能,並好奇是否 Ledger 是否想用此訂閱功能賺取收入,亦或是監
: 管機構要求的功能,使監管機構可獲得客戶資料以沒收資產。
: 另外,幣安執行長 CZ 也詢問 Mudit 這是否代表冷錢包助記詞可以與裝置分離?並稱這
: 與加密社群所支持的理念「你的私鑰絕不會離開你的裝置」背道而馳。
: ChainLink 的社群大使 ChainLinkGod 則是點名了 Ledger 過往的資安風波,提醒用戶
: Ledger 曾因多次資安漏洞導致大量用戶個人資訊外洩,並認為 Ledger 推出的新功能似
: 乎考慮不夠周全。
: 台灣知名冷錢包廠商 CoolWallet 的執行長歐仕邁也於今日對此事件發表看法,其表示
: 若 Ledger 的新功能被多數錢包用戶採用,加密生態的彈性可能會受到嚴重的威脅。
: 「想像一下,如果 50% 的所有加密錢包採用了這種服務,這將意味著全球一半的加密資
: 產將掌握在少數幾個持有這些錢包金鑰的實體手中。在內部管理失當或外部強迫的情況下
: ,這些資產的安全將處於嚴重的風險之中。」歐仕邁說道。
: Ledger 對大量質疑進行回應
: 在新功能引來諸多批評後,Ledger 的執行長、技術長及創辦人於昨日晚間透過 Twitter
: Space 發表想法,之所以推出此功能似乎是為了拓展客源。
: Ledger 技術長 Charles Guillemet 表示,當他想到他母親要使用 Ledger 產品時,會面
: 臨兩種障礙,一是不好讀的地址、二是如何管理私鑰。而 Ledger 的新功能便是要給這些
: 用戶帶來方便,因為 24 個單詞組成的助記詞對他們來說太複雜。
: 而 Ledger 執行長 Pascal Gauthier 也在談話中表示:「Ledger Recover 是我們未來
: 1 億個客戶想要的,他們將透過 Ledger Recover 以安全的方式將入加密世界。」從此句
: 話更可看出,Ledger 降低使用門檻以拉攏新用戶擴展收入來源的決心。
: 另外,關於資安問題,Ledger 創辦人 Nicolas Bacca 表示不會有任何的後門,在進行助
: 記詞恢復時,未經用戶於裝置上同意前,不會有任何事情發生。
: 至於監管方面的質疑,Ledger 體驗長 Ian Rogers 則表示僅保留法律上面的要求,並稱
: 不想負起成為託管者的責任。儘管向用戶提供可能需要 KYC 的服務,但這取決於用戶是
: 否想使用。
: 評論:
: 先說自己的感想 : 這Ledger是想賺月租費想瘋了嗎 ??
: 硬體冷錢包號稱的硬體上隔離私鑰,卻能把私鑰加密後匯出??
: (後面拆成三份什麼KYC的就不是重點了)
: https://i.imgur.com/tmwIQSC.jpg

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.45.141 (臺灣)
※ 作者: MRjk 2023-05-18 00:34:47
※ 文章代碼(AID): #1aPG8fDC (DigiCurrency)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1684341289.A.34C.html
※ 同主題文章:
[新聞] Ledger助記詞恢復功能爭議整理
05-17 16:49 tadashi1024
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 00:34 MRjk
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 04:31 wahaha99
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 16:28 azuel
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-18 17:03 overdoingism
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-19 01:53 azuel
Re: [新聞] Ledger助記詞恢復功能爭議整理
05-20 18:12 ProtectChu56
※ 編輯: MRjk (59.127.45.141 臺灣), 05/18/2023 00:45:29
tadashi1024: Twitter/Reddit很精彩,Ledger這次是真的有大危機了即使他們撤回這項服務,也很難挽回使用者的信任
除非他們願意硬體軟體全部開源,攤出來給所有人檢視1F 05/18 01:26
JapaZPa4867: 還好我寫好新的錢包管理工具了
自己寫靠譜多了 市面上的錢包真的拉垮4F 05/18 01:49
leofu100: 先卡,太重要6F 05/18 12:13

--
作者 MRjk 的最新發文:
點此顯示更多發文記錄