行业洞察

Ledger Recover 为何陷入南辕北辙的局面?

By Kane Wang - 2023-06-06

硬件钱包提供商 Ledger 在宣布其 Nano X 固件推出一个备受争议的新功能几天后,便迅速取消了这一功能。为回应 Web3 社区的强烈抗议,Ledger 承诺开源更多的代码库,其核心操作系统和深处漩涡中心的 Ledger Recover 将成为首批开源的部分。

Ledger 最初推出这一新功能的目的是让用户更轻松地自行管理自己的资产,通过将私钥助记词分成三份并由三个平台进行备份,让用户更便于恢复他们的私钥。然而,倡导隐私和自主权的 Web3 社区对此举感到意外,而市场反应也与预期完全相反。起初,Ledger CEO 坚持认为非 Web3 用户需要这样的功能,但最终无法抵挡公众舆论的声讨。

这次 Ledger 新功能能引得大众议论纷纷表明,至少对于 Web3 社区来说,不应以牺牲安全为代价来优化用户体验,必须谨慎权衡好用户体验和安全。尤其对于区块链公司来说,如果将自己定位在错误的一边,不论产品多么简单易用,都将与 Web3 用户渐行渐远。对于 Ledger 来说,这是一次公开而深刻的教训,我们也应当引以为戒。

为何 Ledger Recover 适得其反

加密社区为何对 Ledger Recover 大为愤慨?硬件(冷)钱包通常被视为保管加密资产最安全的方式之一,但是 Ledger 提出的恢复功能在几个关键点上违反了安全硬件供应商应遵循的基本原则 —— 安全性。

首先,可选的恢复服务是基于用户身份 ID 进行的,也就是说,这项服务要求用户提供 KYC 信息。但是,盗取身份 ID 信息远比想象的更加普遍,作恶方可能拿到用户身份信息,从而获得用户资产的访问权限,这样反而为 Ledger 硬件钱包提供新的攻击方式。

其次,Ledger 更新的恢复固件将用户的助记词分成三个加密片段,每个片段将由一个平台进行存储,然而,Ledger 并未披露所有参与的平台。这使得用户不仅需要面对依赖第三方服务的潜在风险,而且用户甚至不知道另一个第三方提供商是哪个机构,因为 Ledger 最初只披露了参与此恢复服务的两个平台,用户也无法选择去信任哪个保护者。

我相信基于 Ledger 长期以来建立的良好声誉,它在 Web3 社区中享有很高的信赖度。然而,在最初推出 Ledger Recover 时选择不披露所有第三方平台(尽管现在已全部告知),再加上当前恢复功能的实现技术仍然是黑盒状态,这确实破坏了其与用户长期建立起来的信任。现在,Ledger 已经承诺开源这项技术,这无疑是朝着正确的方向迈出的一步。但在正式开源之前,仍然会有人持怀疑态度。

至关重要的另一点是,虽然 Ledger 的恢复功能确实为希望备份助记词的用户提供了新的选择,但是该功能仍未解决私钥使用的单点故障问题

Ledger Recover 的恢复流程如下:

  1. 用户的 Ledger 钱包中会生成一个单私钥;
  2. Ledger 将该私钥的助记词分成三份,并将它们分发给三个平台进行保管。

如果用户想要恢复其原始助记词/原始私钥,只需要使用其中两份助记词来恢复出钱包的单私钥。

然而,在使用硬件钱包时,该私钥仍然是一个单一实体存在,因此对助记词进行分片并不能解决硬件钱包使用时的单点故障问题。

用户体验与安全的平衡

那么,Ledger 是否能避免这场纷争吗?平衡好用户体验和安全绝非易事,但并非不可能,安全多方计算(MPC)钱包或为一个更好的选择。

易用性:作为一关键考虑因素,MPC 技术不仅可以有效提高钱包安全性,而且使用起来非常方便。越来越多的钱包开始采用 MPC 技术,以提供更高的安全性。MPC 协议直接生成多个加密私钥分片,而非生成单私钥。各方保管一个私钥分片,而进行交易时需要所有签名者进行审批和签署。从私钥分片的生成到使用过程中,私钥从未作为单一完整私钥存在过,有效地消除单点风险。同时,私钥分片的生成也无需要用户进行任何操作,这意味着用户使用 MPC 钱包与使用普通钱包没有任何区别,但可以享受更高的安全保护。

兼容性:权衡用户体验与安全时,兼容性是绕不开的话题。普通 Web3 用户大多拥有多个钱包,因此不同钱包间的兼容性对于用户体验至关重要,而 MPC 钱包本就可以与其他类型钱包均兼容。MPC 钱包用户无需获取额外权限,可以自行选择恢复工具/方式,例如开源的离线恢复工具,使用私钥分片来恢复原始私钥。恢复后获到的私钥可以导入其他非 MPC 钱包内,并开始正常使用钱包。

值得一提的是,采用 MPC 技术的软件钱包和手机 App 能够方便地生成私钥分片并简化交易签名过程。同时,针对机构用户,Web3 开发者们也在不断优化产品,提供更多满足机构使用场景需求的功能,例如帮助机构轻松控制内部访问和授权的功能。

当然,任何创新都可能面临瓶颈或问题。如果钱包服务提供商拥有云端 MPC 节点,他们需要承担更高的成本。此外,相较于单私钥钱包所需的网络和设备要求,MPC 钱包对网络和设备的性能要求更高。如果网络或设备无法满足技术要求,整个交易流程的效率将受到影响。因此,采用 MPC 技术方案的门槛更高。

总而言之,通过 Ledger Recover 争议,我们看到当公司为了提高用户体验而牺牲安全时,市场的回应与吸引用户的预期效果背道而驰,反而增加了用户对品牌的不信任。显然,安全和保护用户资产必须始终是首要考虑的。

对我而言,这一事件的发展让我再次深刻认识到去中心化叙事的不断壮大的力量。Web3 社区始终坚定地向市场传达一个理念:开放、协作和社区才是重中之重。


刊登于 Forkast News

Ledger proved the risks of sacrificing security for UX

(本文参照英文翻译,仅供参阅)