Ledger Recover mới ra mắt, sao bị chửi?

Khóa ký quỹ đa bên, có thực sự an toàn?

Được viết bởi: Leo

Vào ngày 16 tháng 5, nhà sản xuất ví phần cứng Ledger đã phát hành một bản cập nhật cho phiên bản giới thiệu dịch vụ có tên “Ledger Recover”. Được biết, Ledger Recover là dịch vụ khôi phục khóa “đăng ký” dựa trên ID có thể cung cấp bản sao lưu cho các từ ghi nhớ khôi phục khóa riêng của người dùng. Hiện Ledger Recover tương thích với Ledger Nano X và có sẵn trên Android và iOS chạy phiên bản Ledger Live mới nhất. Người dùng có thể đăng ký dịch vụ hiện cần có hộ chiếu/ID do Liên minh Châu Âu, Vương quốc Anh, Canada hoặc Hoa Kỳ cấp. Trong tương lai gần, phạm vi đăng ký của người dùng này sẽ bao gồm nhiều quốc gia hơn.

Và Ledger cũng giải thích các chi tiết cụ thể của dịch vụ, chia ví tiền (khóa) thành ba phần (công nghệ bảo vệ mã hóa) và phân phối nó cho ba người giám sát: Ledger, công ty lưu ký tiền điện tử Coincover và công ty lưu trữ mã EscrowTech. Nếu ai đó làm mất chìa khóa của họ, hai trong số ba phân đoạn có thể kết hợp — đang chờ kiểm tra danh tính — để lấy lại quyền truy cập vào các khoản tiền bị khóa. Giá để đăng ký dịch vụ là 9,99 đô la mỗi tháng.

Trước hết, hãy để tôi phổ biến ví phần cứng. Nói chung, khóa riêng được lưu trữ trong một thiết bị phần cứng an toàn, thiết bị này được cách ly với máy tính mạng và các môi trường khác. Nhận thức về ví.

Phản đối của người dùng

Sau khi thông tin về dịch vụ được tung ra đã gây ra một lượng lớn phản đối và tẩy chay của người dùng, BlockBeats đã tổng hợp một số quan điểm của người dùng đối với dịch vụ:

• Là một ví phần cứng, điều cơ bản là khóa không rời khỏi ví và dịch vụ mới của Ledger rõ ràng là không thể chấp nhận được đối với nhiều người dùng có thể tự giữ khóa và sau khi đăng ký dịch vụ, bạn cần ủy thác khóa của mình và danh tính cá nhân cho những người dùng khác Các tổ chức, một khi có vấn đề với các tổ chức này (hack, đánh cắp thông tin), có khả năng cao là thông tin được lưu giữ sẽ không còn nguyên vẹn;
• Đăng ký dịch vụ này yêu cầu xác minh giấy tờ tùy thân và hộ chiếu quốc gia. Mọi thứ được bảo vệ bởi “xác minh danh tính” vốn đã không an toàn. Danh tính quá dễ bị làm giả và cần phải xác minh danh tính để xác nhận yêu cầu tạo lại khóa của người dùng. Ngày nay, lừa đảo và trộm cắp xác minh danh tính quá hiếm và phổ biến, vì vậy đây không phải là cách an toàn;
• Dịch vụ sẽ chia khóa thành ba phần, điều này không sao, nhưng vấn đề là dịch vụ sẽ gửi ba phần khóa mã hóa của người dùng cho ba thực thể, những người này có thể tái tạo lại hoàn toàn khóa của người dùng. Về xác suất toán học, càng có nhiều tổ chức bên thứ ba lưu trữ, xác suất xảy ra sự cố sẽ tăng theo cấp số nhân;
• Hầu hết người dùng Ledger sử dụng Ledger Live, sử dụng các nút Ledger để đồng bộ hóa tất cả ví, tiết lộ mọi chi tiết về hoạt động mã hóa của người dùng, tài sản và chi tiết giao dịch của bạn được hiển thị cho bên thứ ba, cộng với khóa và khóa của bạn sau khi đăng ký dịch vụ. Danh tính cũng được tiết lộ được lưu trữ bởi một bên thứ ba, vậy tiền điện tử của bạn có còn là của riêng bạn không?
• Chúng tôi không thể chắc liệu Ledger có các biện pháp bảo vệ tích hợp để ngăn ai đó gửi cả ba phần của khóa cho một thực thể hay không, cũng như cách họ phân phối nó cho cả ba thực thể, vì vậy thậm chí còn ít rõ ràng hơn là quá trình giải mã trong quá trình khôi phục như thế nào nó đã thực sự được thực hiện;
• Về lý thuyết, tôi biết rằng bạn đã sử dụng Ledger Recover và lấy được thông tin nhận dạng, không khó để vượt qua xác minh danh tính bằng các phương tiện kỹ thuật hiện tại và tài sản được mã hóa của bạn cũng có thể thuộc về người khác;
• Từ quan điểm vĩ mô, các điều kiện quy định cần được xem xét. EscrowTech và Ledger là các công ty của Mỹ và Coincover là một công ty của Anh. Các tổ chức này thuộc thẩm quyền của Vương quốc Anh và Hoa Kỳ. Tuy nhiên, việc giám sát mã hóa ở Hoa Kỳ và Anh luôn là một vấn đề, chính phủ rất dễ dàng đến để yêu cầu danh tính của tất cả những người nắm giữ, sau đó tùy ý thu giữ tiền.

Suy nghĩ sâu hơn sau khi phục hồi Ledger

Thật thú vị, một phần nội dung đã bị xóa sau khi Ledger vừa đăng về dịch vụ. Nội dung có nghĩa là “Ledger và các bên thứ ba đáng tin cậy của chúng tôi không có quyền truy cập vào khóa của người dùng.” Mặc dù Ledger sau đó đã giải thích rằng từ ngữ của bài báo là không chính xác, nhưng lời giải thích này có phần hơi xa vời.

Nguồn ảnh Twitter

Kết hợp với phản hồi của người dùng, một câu hỏi kích thích tư duy xuất hiện: Dịch vụ có đang theo đuổi lợi nhuận sau khi người dùng đăng ký hay một số cơ quan quản lý buộc Ledger phải làm như vậy? Nếu đó là một chức năng được đưa ra theo yêu cầu của cơ quan quản lý, thì họ có thể dễ dàng rất đáng sợ để dễ dàng lấy được dữ liệu và KYC của người dùng cũng như khôi phục tài sản của người dùng.

Một điểm khác là việc sử dụng và khôi phục ba phần của khóa phải được xác minh trên trang web chính thức của Ledger (Email, thông tin nhận dạng, Onfido KYC) Công ty có tên Onfido này xử lý quy trình KYC và yêu cầu người dùng tải lên/xác minh danh tính của họ . ID người dùng, hình ảnh/video/âm thanh từ video selfie, hình ảnh tổng thể của thiết bị và hoạt động hiện tại cũng được giữ nguyên. Onfido có đầy đủ kiến thức về danh tính người dùng và việc bạn là người dùng Ledger, vì vậy khi bạn nắm giữ một lượng tiền điện tử đáng kể, họ cũng có đầy đủ kiến thức về thiết bị bạn sử dụng để xác thực. are not Không thể bắt chước được.

Nó có thực sự an toàn?

Các ví phần cứng khác trên thị trường

Do đó, dịch vụ của Ledger đã phá vỡ hoàn toàn cơ chế ví phần cứng truyền thống và gián tiếp có nhiều sơ hở, trên thực tế, vấn đề về ví phần cứng không phải là vấn đề nổi bật, trước đây gã khổng lồ ví phần cứng Trezor đã có vài phút để bẻ khóa thông qua vật lý các phương pháp. Vì vậy, những ví phần cứng nào khác có sẵn trên thị trường? BlockBeats đã phân loại ra một số ví phần cứng được đánh giá tốt hiện nay như sau:

MộtKhóa

OneKey là một ví phần cứng mã nguồn mở hoàn toàn. Mã nguồn của hệ thống nội bộ của nó có thể được tìm thấy trên GitHub và không có vấn đề về cửa hậu. Và trải nghiệm sử dụng ví phần cứng OneKey rất tốt, hình dạng có kích thước giống như thẻ ngân hàng, giá không đặc biệt đắt và có thể dễ dàng bỏ vào ví.

Đá móng

Keystone là ví phần cứng dựa trên mã QR để truyền dữ liệu, có thể nhận ra các từ ghi nhớ và khóa riêng không bao giờ chạm vào Internet Đối với ví phần cứng, rất dễ bị tấn công nhưng Keystone đã thiết kế cơ chế tự hủy nhiều lớp. Để ngăn thiết bị bị tấn công, nghĩa là khi thiết bị phát hiện ai đó đang tháo rời thiết bị, cơ chế tự hủy sẽ ngay lập tức xóa thông tin khóa cá nhân của bạn và các thông tin nhạy cảm khác, vì vậy kẻ tấn công không thể lấy được thông tin nhạy cảm của người dùng. Keystone và MetaMask (phiên bản mở rộng và di động) và các ví phần mềm hàng đầu khác như Solflare, Sender, Fewcha, v.v.

Phần kết luận

Tất nhiên, cũng có một số ý kiến tích cực. Dịch vụ không bắt buộc phải cập nhật và người dùng có các tùy chọn tùy chọn, vì vậy bạn có thể tiếp tục sử dụng Sổ cái của mình. Cũng có ý kiến cho rằng hành vi trộm cắp tài sản mã hóa là quá phổ biến và xác suất xảy ra mất chìa khóa là chuyện xa vời Hơn cả xác suất mất cắp chìa khóa mà chỉ 9,99 đô la mỗi tháng, tại sao không làm điều đó. Tùy thuộc vào bạn chọn tiếp tục sử dụng hay chuyển sang ví phần cứng khác.