作者 | 比特币工具开发公司 Foundation 内容负责人 @Sethforprivacy
编译 | PANews
5月16日,Ledger发布了Nano X冷钱包2.2.1固件更新,其中将引入一个名为“Ledger Recover”的密钥助记词恢复功能,作为一种基于ID的密钥恢复服务,该功能会备份用户的私钥恢复助记词,同时需要订阅(每月9.99美元)才能启用。现阶段需要欧盟、英国、加拿大或美国签发的护照/ ID证件才能订阅该服务,但在接下来的几个月中,将覆盖更多国家并增加对更多文件的支持。
然而,该功能发布后却引发了不少Web3用户对隐私和安全的担忧,尤其是涉及到存储私钥助记词并与护照或ID证件相关联等操作,显然违背了加密社区的隐私价值观。比特币工具开发公司Foundation的内容负责人发文指出了Ledger这个最新发布的加密货币托管解决方案的“危险性”。
据说,Ledger这款新产品的核心是将用户的助记词进行碎片化处理并将助记词分为三个部分再进行加密,同时还需要用户提供自己的ID+自拍记录,然后信任3个托管人为你保护这些碎片信息。
但是,Ledger这么做是有问题的。
首先,为了使用这套“助记词恢复”系统,你必须将自己的ID身份信息于Ledger账户进行关联绑定,这会造成一个KYC痛点,引发数据泄露、黑客攻击、以及审查和监视等问题。
其次,你还需要信任第三方,并且把自己的ID信息和涉及加密货币的信息交给第三方。在这种情况下很可能会发生数据泄漏或黑客攻击,毕竟Ledger用户数据非常有价值(不管是现在还是未来),任何“授权第三方”都可能随时决定利用您的数据作为收入来源.。
更重要的是,Ledger Recover服务还会损害用户隐私。目前大多数Ledger用户都选择使用Ledger Live软件服务,该软件会使用Ledger节点将所有钱包进行同步,其中包含了钱包内加密货币活动的所有细节信息,相比于将自己的ID与Ledger账户绑定,使用Ledger Live的用户风险更高。
根据披露信息显示,所有KYC数据都是由一家名为“Onfido”的公司收集,该公司将处理KYC信息验证等事宜,当Ledger用户上传/验证身份时,他们会保留用户ID、自拍视频中的图片/视频/声音,以及用户设备和当前活动的整体图片。
这意味着,Onfido将全面掌握你的ID、以及你是Ledger用户的事实。当然,他们肯定知道你持有加密货币。Onfido还将全面掌握你用于身份验证的设备信息,所以现在你不仅信任了Ledger和“授权第三方”使用你的身份数据,你还信任Onfido掌握了你的设备等更多其他信息。
所有这些操作,都很容易引发新威胁。下面,让我们从技术角度来进一步分析。
从技术层面来看,用户必须“100%”信任Ledger,因为整个过程的代码都是封闭且无法验证的。虽然Ledger联合创始人Nicolas Bacca称其团队计划在未来开放其代码,以让用户看到Ledger的恢复服务是如何安全地加密用户数据并在底层安全运行的,同时Ledger也正在使其恢复服务完全可选择并对与第三方托管机构的合作关系保持透明,但至少在本文撰写时,Ledger没有对相关代码进行开源,也就是说,除了Ledger自己之外,没有人可以验证实际发生的事情/安全性。
如果一切如前所述,理论上用户的助记词永远不会以未加密的状态离开设备。但是,我们无法对此进行验证并确保这些助记词已安全完成或已正确加密。但有一点可以确认,即:现在代码在你的Ledger上运行,而且可以通过USB/BT发送你的助记词。换个角度来看,此时你的钱包将不再是所谓的“冷钱包”,而已是“从冷转热”。不仅如此,如果通过几次按键就能把你的钱包变“热”,也会给网络钓鱼和恶意软件开辟大量新的攻击媒介,黑客可能会在不知不觉过程中掌握到你的助记词。
现阶段,我们无法确定Ledger是否内置了安全措施来防止有人将加密的碎片助记词全部发送给一个人,或者发送给了3个不同的托管人,也不能确定碎片助记词是否只能由用户自己来解密。
这里还有一个问题,你无法获知助记词恢复过程、或者说解密过程是如何运作的。用户必须登陆Ledger并验证身份,但如果解密只能在自己的设备上进行,那么新设备如何获得解密密钥?
在端到端加密(E2EE)方案中,通常需要一种方法来批准新设备并向其发送解密密钥,但在丢失Ledger的情况下,用户其实不能这样做,因此其他人必须拥有他们发送给你的Ledger解密密钥副本才能进行助记词恢复。
在这种情况下,谁拥有这些解密密钥呢?是Ledger吗?还是在登录Ledger Recover并进行ID验证之后进行加密并放在某个地方?如果是这样,解密密钥又是如何存储,使用什么技术加密,又如何进行验证的呢?
还有一点,如果有人知道你使用了Ledger Recover并获得了你的ID,理论上就可以窃取你所有的加密货币,即便你的Ledger安然无恙地放在抽屉某处。
值得一提的是,Ledger Recover的托管人CoinCover、以及上文提及的Onfido位于英国,另一个托管人没有在官方文档中披露,但据传是美国的EscrowTech,如果传闻属实,那么意味着你的信息将会被纳入“五眼联盟”的管辖范围之中。
总结
Ledger推出Recover服务可能不是一个好主意,因为它打破了之前使用硬件钱包(冷存储)的所有原则并将KYC引入其中,同时“非开源”机制也让许多Web3用户难以相信其说辞。