Ledger Recover 為何陷入南轅北轍的局面？

以犧牲安全為代價來優化用戶體驗將與使用者漸行漸遠

原文：Ledger is proving the perils of sacrificing security on the altar of user experience（Forkast）

作者：KANE WANG

封面： Ledger Recover

Forkast News 6 月 6 日刊登 Safeheron 技術 VP Kane Wang 的專欄文章，探討 Ledger Recover 陷入爭議困局的背後原因。

硬體錢包供應商 Ledger 在宣佈其 Nano X 固件推出一個備受爭議的新功能幾天後，便迅速取消了這一功能。 為回應 Web3 社區的強烈抗議，Ledger 承諾開源更多的代碼庫，其核心操作系統和深處漩渦中心的 Ledger Recover 將成為首批開源的部分。

Ledger 最初推出這一新功能的目的是讓使用者更輕鬆地自行管理自己的資產，通過將私鑰助記詞分成三份並由三個平臺進行備份，讓使用者更便於恢復他們的私鑰。 然而，倡導隱私和自主權的 Web3 社區對此舉感到意外，而市場反應也與預期完全相反。 起初，Ledger CEO 堅持認為非 Web3 使用者需要這樣的功能，但最終無法抵擋公眾輿論的聲討。

這次 Ledger 新功能能引得大眾議論紛紛表明，至少對於 Web3 社區來說，不應以犧牲安全為代價來優化使用者體驗，必須謹慎權衡好用戶體驗和安全。 尤其對於區塊鏈公司來說，如果將自己定位在錯誤的一邊，不論產品多麼簡單易用，都將與 Web3 使用者漸行漸遠。 對於 Ledger 來說，這是一次公開而深刻的教訓，我們也應當引以為戒。

為何 Ledger Recover 適得其反

加密社區為何對 Ledger Recover 大為憤慨？ 硬體（冷）錢包通常被視為保管加密資產最安全的方式之一，但是 Ledger 提出的恢復功能在幾個關鍵點上違反了安全硬體供應商應遵循的基本原則 —— 安全性。

首先，可選的恢復服務是基於使用者身份 ID 進行的，也就是說，這項服務要求使用者提供 KYC 資訊。 但是，盜取身份 ID 資訊遠比想像的更加普遍，作惡方可能拿到使用者身份資訊，從而獲得使用者資產的訪問許可權，這樣反而為 Ledger 硬體錢包提供新的攻擊方式。

其次，Ledger 更新的恢復固件將使用者的助記詞分成三個加密片段，每個片段將由一個平臺進行存儲，然而，Ledger 並未披露所有參與的平臺。 這使得用戶不僅需要面對依賴第三方服務的潛在風險，而且使用者甚至不知道另一個第三方供應商是哪個機構，因為 Ledger 最初只披露了參與此恢復服務的兩個平臺，使用者也無法選擇去信任哪個保護者。

我相信基於 Ledger 長期以來建立的良好聲譽，它在 Web3 社區中享有很高的信賴度。 然而，在最初推出 Ledger Recover 時選擇不披露所有第三方平臺（儘管現在已全部告知），再加上當前恢復功能的實現技術仍然是黑盒狀態，這確實破壞了其與用戶長期建立起來的信任。 現在，Ledger 已經承諾開源這項技術，這無疑是朝著正確的方向邁出的一步。 但在正式開源之前，仍然會有人持懷疑態度。

至关重要的另一点是，虽然 Ledger 的恢复功能确实为希望备份助记词的用户提供了新的选择，但是该功能仍未解决私钥使用的单点故障问题。

Ledger Recover 的恢复流程如下：

STEP

用户的 Ledger 钱包中会生成一个单私钥

STEP

Ledger 将该私钥的助记词分成三份，并将它们分发给三个平台进行保管

STEP

如果用户想要恢复其原始助记词/原始私钥，只需要使用其中两份助记词来恢复出钱包的单私钥

然而，在使用硬件钱包时，该私钥仍然是一个单一实体存在，因此对助记词进行分片并不能解决硬件钱包使用时的单点故障问题。

用户体验与安全的平衡

那么，Ledger 是否能避免这场纷争吗？平衡好用户体验和安全绝非易事，但并非不可能，安全多方计算（MPC）钱包或为一个更好的选择。

易用性

作为一关键考虑因素，MPC 技术不仅可以有效提高钱包安全性，而且使用起来非常方便。越来越多的钱包开始采用 MPC 技术，以提供更高的安全性。MPC 协议直接生成多个加密私钥分片，而非生成单私钥。各方保管一个私钥分片，而进行交易时需要所有签名者进行审批和签署。从私钥分片的生成到使用过程中，私钥从未作为单一完整私钥存在过，有效地消除单点风险。同时，私钥分片的生成也无需要用户进行任何操作，这意味着用户使用 MPC 钱包与使用普通钱包没有任何区别，但可以享受更高的安全保护。

兼容性

权衡用户体验与安全时，兼容性是绕不开的话题。普通 Web3 用户大多拥有多个钱包，因此不同钱包间的兼容性对于用户体验至关重要，而 MPC 钱包本就可以与其他类型钱包均兼容。MPC 钱包用户无需获取额外权限，可以自行选择恢复工具/方式，例如开源的离线恢复工具，使用私钥分片来恢复原始私钥。恢复后获到的私钥可以导入其他非 MPC 钱包内，并开始正常使用钱包。

值得一提的是，采用 MPC 技术的软件钱包和手机 App 能够方便地生成私钥分片并简化交易签名过程。同时，针对机构用户，Web3 开发者们也在不断优化产品，提供更多满足机构使用场景需求的功能，例如帮助机构轻松控制内部访问和授权的功能。

当然，任何创新都可能面临瓶颈或问题。如果钱包服务提供商拥有云端 MPC 节点，他们需要承担更高的成本。此外，相较于单私钥钱包所需的网络和设备要求，MPC 钱包对网络和设备的性能要求更高。如果网络或设备无法满足技术要求，整个交易流程的效率将受到影响。因此，采用 MPC 技术方案的门槛更高。

總而言之，通過 Ledger Recover 爭議，我們看到當公司為了提高用戶體驗而犧牲安全時，市場的回應與吸引使用者的預期效果背道而馳，反而增加了使用者對品牌的不信任。 顯然，安全和保護使用者資產必須始終是首要考慮的。

對我而言，這一事件的發展讓我再次深刻認識到去中心化敘事的不斷壯大的力量。 Web3 社區始終堅定地向市場傳達一個理念：開放、協作和社區才是重中之重。

免責聲明：作為區塊鏈資訊平臺，本站所發佈文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。 本文內容僅用於資訊分享，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。