記事の出典
パリに本拠を置く暗号ハードウェアウォレットプロバイダーのレジャー社は、5月16日に苦境に立たされた。Ledger Recover導入計画を明らかに 、Ledger Nano Xウォレット所有者向けのオプションの有料サブスクリプションサービスで、サードパーティの管理者が関与するシードフレーズ回復システムを提供します。 Ledgerは、この新機能を、暗号通貨とNFTの保有者がシードフレーズを紛失または忘れた場合に資産を回復できるようにするイノベーションであると宣伝しました。
しかし、この発表は Web3 コミュニティの一部から厳しく批判され、サービスの存続を可能にするファームウェアのアップデートは、ユーザーの秘密キーがデバイスから決して流出しないことを保証するという Ledger の長年のポリシー (および主なセールス ポイント) に反すると主張しました。
その結果、Ledger は 5 月 23 日、キー回復機能のリリースを延期すると発表しました。のレジャーへの手紙 ユーザーに対し、最高経営責任者(CEO)のパスカル・ゴーティエ氏は「意図しないコミュニケーションミス」を謝罪し、レジャーはコミュニティと協力して「正しい方法で一緒にこれを行う」と強調した。同氏は、Ledgerは新機能を導入する前にすべてのコードを公開すると付け加えた。 LedgerもホストされていますコミュニティAMA 5 月 23 日に Twitter でユーザーからのコメントや懸念に直接対応しました。
Ledger Recover と現在進行中の論争について知っておくべきことはすべてここにあります。
レジャー論争
価値は10億ドル以上と推定されています年間収益は5,300万ドル以上 , Ledgerは、世界で最も有名で人気のあるハードウェアウォレットのプロバイダーの1つです。同社のハードウェア ウォレットは、「コールド ストレージ」デバイスと呼ばれることが多く、暗号通貨を保存するための非常に安全な方法を提供する USB サムドライブのようなツールです。これらは、一般に使いやすい MetaMask や WalletConnect などの「ホット ウォレット」対応のものよりも優れていると考えられていますが、秘密鍵をオンラインで保存するという欠点があり、はるかに大きなリスクにさらされます。
Ledger ウォレットの設定には、暗号ウォレットに関連付けられた秘密キーを構成する、ランダムに生成された単語のコレクションである固有のシード フレーズの作成が含まれます。このシステムは安全ですが、使いやすさに欠点があります。シードフレーズを失うことは資金へのアクセスを失うことを意味し、それが悪者の手に渡った場合、ウォレットの侵害につながる可能性があります。
Ledgerは何年もの間、ユーザーの秘密鍵があるためユーザーの資産は安全であるという考えに基づいてウォレットを販売してきました。決してデバイスから離れないでください 。したがって、同社がオプションの有料サブスクリプション サービスの計画を発表したことは、Web3 コミュニティの多くの人にとって驚きでした。
基本的に、Ledger Recover はユーザーのシードフレーズを暗号化し、それを 3 つの部分に分割し、それぞれを異なる管理者と共有します。 Ledger はそれらのカストディアンの 1 つであり、Coincover と EscrowTech (それぞれ仮想通貨カストディ会社とコード エスクロー会社) が他のカストディ会社です。
「購読することを選択した場合、Ledger Recover は秘密キーのバージョンを暗号化し、それを (Shamir Secret Sharing を使用して) 3 つのフラグメントに分割します。これはすべて Secure Element チップ上で行われるため、Secret Recovery フレーズは危険にさらされません。」同社はビデオに付随するTwitterスレッドにこう書いた。ユーザーが秘密鍵を紛失または忘れた場合、本人確認サービスを利用して秘密鍵を回復・復元します。
コミュニティの反応
セキュリティの擁護者が、完全に触ることができず移動できない秘密鍵を内蔵したデバイスを宣伝し、その後、その鍵が実際にあることを突然発表しました。できる サードパーティとアクセスしたり共有したりできることは、Web3 コミュニティの多くに受け入れられませんでした。
同様に腹立たしいのは、ユーザーが Ledger Recover の購読を希望する場合、サービスに参加するには政府発行の ID を提供する必要があるという事実です。
反発の真っただ中、レジャーはTwitterスペースをホストしました (48,000人以上が参加)論争に対処するために。ギルメ氏、同社の共同創設者ニコラス・バッカ氏、最高エクスペリエンス責任者のイアン・ロジャース氏、ゴーティエ氏が、興奮し好奇心旺盛なコミュニティからの質問に順番に答えた。
「各シャードは各パートナーとともに保存されます」とギルメ氏はスペースで説明しました。 「回復したいときはいつでも、自分のアカウントを確認し、それらのパートナーも経由して、本人確認プロセスを経て、それが自分であることを確認する必要があります。 2 人のパートナーは本人であることを確認し、疑わしい場合はプロセスが停止されます。あなた自身がシードを確実に回復するための、さまざまな緩和策や対策がたくさんあります。」
チームはまた、将来的にはこのサービスのコードをオープンソース化し、ユーザーがその仕組みを確認したり、必要に応じて独自のバージョンを作成するために使用したりできるようにする予定であることも明らかにした。
「これが私たちの将来の顧客が望んでいることです。申し訳ありませんが、紙切れは過去のものです。」
LEDGER CEO パスカル・ゴティエ
ゴーティエは、何の不安も持たずに会社の新たな展開に乗り出しました。という批判に応えて、元帳は信頼できないことが証明されています ゴーティエ氏は、Ledger Recoverは仮想通貨コミュニティの要望に反するものであり、「これらの製品に腹を立てる人々は、さまざまな方法でシードをバックアップする多くの方法を持っている何億人もの人々がいることを理解していない」と述べた。それは非常に不安です。」
「これが私たちの将来の顧客が望んでいることです。申し訳ありませんが、紙は過去のものです。当社のセキュリティには一切の妥協がありません。 Twitter では、これは今後 6 か月以内にハッキングされるだろうと確信していると言っている人を見かけます。わかりました、それでは見てみましょう。優れた実績を積んでいれば、次の行動も非常に似たものになると信頼できることがわかります。」
Ledger Recoverのリスク
この論争をめぐる重要な問題は、このサービスにオプトインしないことを選択したユーザーが、秘密鍵のファームウェアのアップデートを介してバックドアを開き、ハッカーが利用する可能性があるかどうかです。また、Bacca 氏は Twitter スペースで、このサービスにオプトインした人は技術的に新しい攻撃ベクトルにさらされていることを認めましたが、Web3 コミュニティの一部の人は、このサービスに加入していない人は本当に心配する必要はないと信じています。 。
懐疑論者が過剰反応していると信じる人々は、Ledger ウォレットが本質的にアップグレード可能 それは、ウォレットのアクセシビリティとセキュリティに対する不安を和らげるとともに、そもそもウォレットがどのように機能するかの基本を明確にするためです。ブロックチェーン自体が時間の経過とともにアップグレードされるため、アップグレードする機能がなければハードウェア ウォレットの機能が失われ、ブロックチェーンと対話するデバイスはそれに応じて適応できる必要があります。
今回、Ledger はリカバリ機能のコードをオープンソースにすることで、ユーザーが提案されている保管メカニズムのセキュリティを独自に評価できるようになります。これにより、ユーザーは独自の監査を実施し、機能の安全性を信じているかどうかを自分で確認できるようになります。
「まず思い出していただきたいのは、私たちのコードのほとんどはすでにオープンソースであるということです。ファームウェアに関しては、最近 cryptolib をオープンソース化し、SDK は何年も OSS であり、すべてのアプリはすでに OSS です。しかし、私たちはさらに前進したいと考えています」とレジャー CTO は述べていますシャルル・ギルメAMAで言ってた 。
サブスクリプション サービスが無害であるかどうかに関係なく、Web3 の高速応答環境で新機能を伝達する際の課題を示しています。 Ledger Recover 論争は、これまでの多くの論争と同様に、ブロックチェーン中心の組織が直面している継続的な闘争も浮き彫りにしています。ユーザーエクスペリエンスと暗号通貨コミュニティの核となる原則を維持することのバランスをとることは、やりがいのある仕事 。