Ledger惹众怒？深挖背后真相

作者：Jack Inabinet，Bankless；翻译：金色财经0xxz

Ledger熬过了艰难的24小时。这个世界上最著名的硬件钱包制造商发布了一个功能吸引新用户使用他们的产品，但现在似乎所有人都对他们大为恼火！

那么，到底发生了什么？让我们一探究竟。

1、Ledger闹剧

本周，Ledger推出了一款名为Ledger Recover的新功能，这是一项便捷的密钥恢复服务，主要目的是帮助用户在丢助记词或丢失Ledger硬件设备时恢复资金。你的助记词的加密版本会被分为三部分并发送给Ledger和它的两个合作伙伴安全保管。即使弄丢了Ledger钱包，用户也可以通过公民身份证确认身份来恢复助记词。

FTX暴雷后，能够让你的代币既远离中心化交易所，同时又有一种用户友好的方式来避免因弄丢助记词遭受财务损失，这似乎是一件大好事，不是吗？

Signature Bank未证实LedgerX使用其服务:金色财经报道，此前雅虎和彭博社均披露LedgerX为了与Silvergate Bank保持距离已选择改用Signature Bank作为其电汇资金接收方，但到目前为止Signature并未证实这一消息，该金融机构在一份声明中表示：“虽然我们不能对特定客户发表评论，但我们仍在为数字资产客户提供持有部分美元存款的业务。”由于Silvergate Bank陷入困境，目前已有多家加密公司表示不再使用其服务而转向Signature Bank，包括Coinbase等。（cryptoslate）[2023/3/3 12:40:35]

但在新功能推出不久后，用户就开始表现出了担忧。周一晚些时候，用户正在阅读Nano X的最新固件更新消息，Reddit上的一篇帖子发出了预警。

Beosin：TempleDAO项目遭受黑客攻击，涉及金额约236万美元:据Beosin EagleEye Web3安全预警与监控平台监测显示，TempleDAO项目遭受黑客攻击。因为在StaxLPStaking合约的migrateStake函数缺少权限校验，导致任意人都可以通过该函数提取合约中的StaxLP。

Beosin安全团队分析发现攻击者已把全部获得的StaxLP代币全部兑换为ETH，目前被盗资金已全部转移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:30]

暂且不论这项服务的可选性，对于许多用户来说，Ledger设备竟有这个功能确实是个大新闻，因为Ledger曾强调表示这是不可能发生的。

ETC Core：矿工/矿池应只使用Core-geth客户端而非Hyperledger Besu:ETC Core发推称，矿工/矿池应该只使用Core-geth客户端而不是Hyperledger Besu，因为Core-geth支持挖矿应用程序。请运行最新版本的Core-geth。Besu在未来可能会有更多的挖矿功能。[2020/8/3]

与大多数其他硬件钱包相比，Ledger的独特之处就是它的Secure Element芯片，Ledger声称该芯片可完全隔离保存私钥。很多人认为Ledger硬件钱包相当于iPhone的Secure Enclave，Secure Enclave存储了你解锁密码的哈希值，理论上即使是联邦调查局过来，你的密码也不会暴露。

Everledger 筹集了由英国政府和腾讯提供的 700 万美元过桥贷款:伦敦区块链溯源公司 Everledger 宣布通过英国政府的 Future Fund 和中国科技巨头腾讯筹集了 700 万美元的过桥贷款。Everledger 首席执行官 Leanne Kemp 透露，与一家中国电子商务公司的合作伙伴关系将于今年晚些时候宣布。

与此同时，该公司公布了 Everledger 平台升级，以支持在新冠肺炎大流行期间钻石行业的复苏。此前报道，去年 9 月腾讯参与了 Everledger 2000 万美元的 A 轮融资，计划启动全球首个区块链珠宝追踪的微信小程序。[2020/7/16]

15岁安全研究员发现硬件钱包Ledger存在漏洞:3月20日，硬件钱包制造Ledger发布了一份固件更新，以修补几个安全漏洞。这些漏洞是由三名白帽安全研究人员独立发现的，其中一名叫Saleem Rashid，是一名15岁的英国男孩。他发现的攻击载体是基于硬件的，并不局限于Ledger设备，这使得单靠软件很难完全缓解这个问题。[2018/3/21]

但Ledger粉碎了这个好印象，因为这个新功能恰恰告诉用户密钥可以在固件更新后以加密的形式离开Secure Element。虽然Recover功能是完全可选的服务，但许多人更担心的是，Ledger是否过度承诺了其Secure Element的安全性，Ledger就这样损害了用户信任。

2、新功能

早在今年2月份，《Wired》杂志的一篇文章就戏称Ledger Recover是一个专为技术水平较低的人设计的私钥管理解决方案。首席执行官Pascal Gauthier将Ledger Recover视为“极客”方法（如账户抽象）的替代方案，他认为这些极客方法还不具备服务于一个“准备好发展走向大众市场的行业”的条件。

Ledger Recover是一个可选的订阅服务，包含在最新的Ledger Nano X固件更新中。即使用户原有的Ledger设备丢了、坏了或被盗了，该功能也支持用户随时随地备份他们的助记词恢复他们的钱包，每月订阅费为9.99美元。

这项服务恢复你钱包的唯一工具就是你的政府颁发的身份证。普通加密用户不再需要满足复杂的操作安全要求来保护他们的硬件钱包安全！

为了防止单个实体访问用户私钥，Secure Element将密钥分成三部分进行加密，其中一部分由Ledger自己保留，另外两部分分发给第三方实体。单独一部分是没有用的，必须与其他部分结合后才能显示秘钥。

用户必须输入他们的设备密码，才能确认固件更新或启用Recover功能，如备份助记词。

3、批评之音

在CT和Reddit上，大部分怒火都来自于用户，他们说自己被该公司过去的营销和宣传误导了。

在Ledger Recover发布之前，很多加密人士都认为，Secure Element不可能以明文或加密的形式泄露助记词，并且固件升级也无法改变这一点。

虽然Ledger后来做了澄清，并试图简化信息，但可以说，他们确实没有预料到会受到用户的群体抵制，这些用户长期以来一直将他们视为最值得信赖的自我托管钱包之一。

甚至连CZ也加入进来，他指出Ledger过去的说法和新功能相悖，过去他们说密钥永远不会离开硬件设备，而Ledger Recover则揭露了另一个丑陋的现实。

4、结论

Ledger的核心支持者认为，每个硬件钱包都依赖于软件，信任你所使用的产品的制造商应该是最基本的期望。唯一真正的替代方案是使用一款永远不会更新的产品，但出于诸多考虑，这并不是理想情况。

虽然我不是硬件工程师，但我赞同这样一种观点，那就是使用Ledger首先意味着你对该公司有一定程度的信任。但这几乎让该公司两全其美的努力变得更不可恕，他们发布的新功能违背了之前宣传的Secure Element的一些核心原则，但他们现在却辩称，用户设备“一直都是这样的”。

最后的结果是，Ledger仍然可能是比其他替代方案更安全的存储秘钥的场所（如果你不担心来自国家层面的秘钥威胁的话），基于这个产品的核心工作方式你可能仍然是安全的。但这次新功能的发布无疑损害了用户信任，并将影响Ledger社区如何看待未来的产品宣传。

金色荐读

金色财经 善欧巴

迪新财讯

Chainlink预言机

区块律动BlockBeats

白话区块链

金色早8点

Odaily星球日报

Arcane Labs

欧科云链

标签：LEDDGEEDGGERledger钱包官网下载pledge币最新消息OneLedgerBURGERS

莱特币最新价格热门资讯