沒有預約,Trezor 和 Ledger 硬件錢包公司都面臨著與錢包安全和安全相關的問題。
假 Trezor 錢包
根據 Wu Blockchain 報導的反病毒軟件公司卡巴斯基的安全報告,一名用戶剛剛成為涉及 Trezors 錢包的極其複雜的騙局的受害者。
具體來說,這名倒霉的用戶通過一家聲譽極佳且廣為人知的廣告銷售網站訂購了一個 Trezor Model T 硬件錢包。收到的錢包與“真正的”錢包完全一樣,運行流暢且功能齊全。
但是當受害者將他的 BTC 轉入錢包時,加密貨幣立即轉出!
卡巴斯基團隊最初沒有發現假錢包和真錢包有什麼區別,因為外觀完全相似。當他們打開錢包檢查硬件時,發現錢包的微控制器(MCU——microcontroller unit)被調換了。
帶有“後門”的賬本錢包?
與上述假冒購買案例不同,Ledger 錢包圍繞其新的集成功能社交恢復面臨諸多質疑。
具體來說,社交恢復是 Ledger Nano X 錢包的新更新,將種子短語加密為 3 個片段,並將其發送給 3 個不同的實體/組織。這三方然後可以重新組裝成一個完整的種子鏈,以便用戶可以驗證身份。
Ledger just released a new update for Nano X that allows social recovery of your seed phrase.
— Mudit Gupta (@Mudit__Gupta) May 16, 2023
It encrypts your seed in 3 shards and sends it to different entities that can then reconstruct the seed for you post ID verification.
It's a horrendous idea, DON'T enable this feature. pic.twitter.com/2E1GSuYN5r
這種去中心化錢包的想法非常受歡迎。但是用戶想知道為什麼 Ledger 可以加密用戶的助記詞並發送出去——而在啟用社交恢復時他們不要求用戶重新輸入助記詞?
像 Ledger 和 Trezor 這樣的硬件錢包是非託管錢包,任何一方都無權存儲、訪問和使用用戶的錢包。因此,Ledger能夠將助記詞發送出去,讓社區懷疑Ledger是否已經存儲了這個助記詞信息?
更多證據表明 Ledger 正在為預製 Nano X 錢包添加社會恢復功能——而不是即將推出的錢包。也就是說,公司的錢包線路中至今隱藏著一個後門(backdoor)來保存助記詞,所以到現在,只需要更新一下就可以調出那個信息進行加密了?
模棱兩可的回應
萊傑方面尚未對這些不良信息做出任何官方回應。
然而,Ledger 聯合創始人個人在 Reddit 社區中發表了一些有爭議的評論。
具體來說,當用戶詢問有關“Ledger 有後門嗎?“然後賬戶藍牙芯片Ledger 聯合創始人的回复說:
“您的密鑰始終存儲在設備上,永遠不會轉移。”
但隨後有相反的評論說:
“如果你使用社交恢復功能,設備會將種子短語的加密片段發送給不同的公司。”
那麼密鑰是否仍然可以轉移?
聯合創始人還聲稱沒有後門,但“無法證明”。(?!)
看來 Ledger 應該就此問題發表官方聲明來回答社區的問題,而不是像那樣在 Reddit 上散佈評論。