Giám đốc điều hành Ledger trì hoãn tính năng khôi phục khóa, cam kết mã nguồn mở

Nguồn bài viết

Ledger, nhà cung cấp ví phần cứng tiền điện tử có trụ sở tại Paris, đã gặp khó khăn vào ngày 16 tháng 5 sau khitiết lộ kế hoạch giới thiệu Ledger Recover , một dịch vụ đăng ký trả phí, tùy chọn dành cho chủ sở hữu ví Ledger Nano X cung cấp hệ thống khôi phục cụm từ gốc liên quan đến người giám sát bên thứ ba. Ledger giới thiệu tính năng mới này như một sự đổi mới cho phép những người nắm giữ tiền điện tử và NFT khôi phục tài sản của họ trong trường hợp cụm từ gốc bị mất hoặc bị lãng quên.

Nhưng thông báo đã bị chỉ trích nặng nề bởi một bộ phận cộng đồng Web3, họ cho rằng bản cập nhật chương trình cơ sở cho phép dịch vụ tồn tại đi ngược lại chính sách lâu dài của Ledger (và điểm bán hàng chính) đảm bảo khóa riêng của người dùng sẽ không bao giờ rời khỏi thiết bị.

Do đó, vào ngày 23 tháng 5, Ledger đã thông báo rằng họ sẽ hoãn ra mắt tính năng khôi phục khóa. TRONGmột lá thư cho Ledger người dùng, Giám đốc điều hành Pascal Gauthier đã xin lỗi vì “lỗi giao tiếp không cố ý” và nhấn mạnh rằng Ledger sẽ làm việc với cộng đồng để “cùng nhau thực hiện điều này theo đúng cách”. Anh ấy nói thêm rằng Ledger sẽ xuất bản tất cả mã của nó trước khi giới thiệu tính năng mới. Ledger cũng được lưu trữmột cộng đồng AMA trên Twitter vào ngày 23 tháng 5 để giải quyết trực tiếp các bình luận và mối quan tâm của người dùng.

Đây là mọi thứ bạn cần biết về Ledger Recover và những tranh cãi đang diễn ra.

Tranh cãi sổ cái

Được định giá hơn 1 tỷ đô la và với ước tínhdoanh thu hàng năm hơn 53 triệu đô la , Ledger là một trong những nhà cung cấp ví phần cứng nổi tiếng và phổ biến nhất thế giới. Ví phần cứng của công ty, thường được gọi là thiết bị “lưu trữ lạnh”, là công cụ giống như ổ USB cung cấp cách bảo mật cao để lưu trữ tiền điện tử. Chúng được coi là vượt trội so với các đối tác “ví nóng” của chúng, chẳng hạn như MetaMask và WalletConnect, thường dễ sử dụng hơn nhưng có nhược điểm là lưu trữ khóa cá nhân trực tuyến, khiến chúng gặp rủi ro lớn hơn nhiều.

Thiết lập ví Ledger liên quan đến việc tạo một cụm từ hạt giống duy nhất, một tập hợp các từ được tạo ngẫu nhiên tạo thành các khóa riêng được liên kết với ví tiền điện tử. Hệ thống này, trong khi an toàn, có nhược điểm về khả năng sử dụng. Mất cụm từ hạt giống có nghĩa là mất quyền truy cập vào tiền và nếu nó rơi vào tay kẻ xấu, điều đó có thể dẫn đến việc ví bị xâm phạm.

Trong nhiều năm, Ledger đã tiếp thị ví của mình với ý tưởng rằng tài sản của người dùng được an toàn vì khóa riêng của họkhông bao giờ rời khỏi thiết bị của họ . Vì vậy, nó đã gây ngạc nhiên cho nhiều người trong cộng đồng Web3 khi công ty xác nhận kế hoạch cho một dịch vụ đăng ký trả phí tùy chọn.

Về bản chất, Ledger Recover mã hóa cụm từ gốc của người dùng và chia nhỏ nó thành ba phần, mỗi phần được chia sẻ với một người giám sát khác nhau. Ledger là một trong những người giám sát đó, với Coincover và EscrowTech, (tương ứng là công ty lưu ký tiền điện tử và công ty ký quỹ mã) là những người khác.

“Nếu bạn chọn đăng ký, Ledger Recover sẽ mã hóa một phiên bản khóa riêng tư của bạn và chia nó thành ba phần (sử dụng Chia sẻ bí mật Shamir) — tất cả điều này xảy ra trên chip Phần tử bảo mật, vì vậy Cụm từ khôi phục bí mật của bạn không gặp rủi ro,” công ty đã viết trong chủ đề Twitter kèm theo video. Nếu người dùng mất hoặc quên khóa cá nhân của mình, họ sẽ thông qua dịch vụ xác nhận danh tính để khôi phục và khôi phục khóa đó.

Phản ứng của cộng đồng

Một nhà vô địch về bảo mật quảng cáo một thiết bị chứa khóa cá nhân hoàn toàn bất khả xâm phạm và bất động rồi đột nhiên thông báo rằng khóa đó thực sựcó thể được truy cập và chia sẻ với bên thứ ba không phù hợp với phần lớn cộng đồng Web3.

Điều đáng lo ngại tương tự là thực tế là, để tham gia dịch vụ, người dùng sẽ cần cung cấp ID do chính phủ cấp nếu họ muốn đăng ký Ledger Recover.

Giữa làn sóng phản ứng dữ dội, Ledgertổ chức một không gian Twitter (có hơn 48.000 người tham dự) để giải quyết tranh cãi. Guillemet, người đồng sáng lập công ty Nicolas Bacca, Giám đốc Trải nghiệm Ian Rogers và Gauthier thay phiên nhau trả lời các câu hỏi từ một cộng đồng tò mò và kích động.

“Mỗi phân đoạn [được lưu trữ với] từng đối tác,” Guillemet giải thích trong không gian. “Bất cứ khi nào bạn muốn khôi phục, bạn sẽ xem qua tài khoản của mình, thông qua cả các đối tác đó và quy trình nhận dạng ID để đảm bảo đó là bạn. Hai đối tác xác minh đó là bạn, nếu có bất kỳ nghi ngờ nào, quá trình sẽ dừng lại. Có rất nhiều biện pháp và biện pháp giảm thiểu khác nhau để đảm bảo bạn là người phục hồi hạt giống của mình.”

Nhóm cũng nói rõ rằng họ có kế hoạch mã nguồn mở cho dịch vụ trong tương lai, cho phép người dùng xem cách nó hoạt động và thậm chí sử dụng nó để tạo phiên bản của riêng họ nếu họ muốn.

“Đây là những gì khách hàng tương lai của chúng tôi muốn. Tôi xin lỗi, nhưng mẩu giấy đã là dĩ vãng rồi.”
Giám đốc điều hành LEDGER PASCAL GAUTHIER

Gauthier nghiêng về hướng phát triển mới của công ty một cách chắc chắn. Đáp lại những lời chỉ trích rằngLedger đã được chứng minh là không đáng tin cậy trong quá khứ và Ledger Recover đi ngược lại mong muốn của cộng đồng tiền điện tử, Gauthier nói, “Những người khó chịu với những sản phẩm này không nhận ra rằng có hàng trăm triệu người có nhiều cách sao lưu hạt giống của họ theo nhiều cách rất không an toàn.”

“Đây là những gì khách hàng tương lai của chúng tôi muốn. Tôi xin lỗi, nhưng mẩu giấy đã là quá khứ. Không có sự thỏa hiệp trong an ninh của chúng tôi. Tôi thấy mọi người trên Twitter nói rằng họ chắc chắn điều này sẽ bị hack trong sáu tháng tới. Được rồi, để xem nào. Khi bạn có thành tích xuất sắc, bạn biết bạn có thể tin tưởng bước tiếp theo sẽ rất giống nhau.”

Ledger Recover rủi ro

Vấn đề chính xung quanh cuộc tranh cãi là liệu những người dùng chọn không tham gia dịch vụ có mở được một cửa hậu thông qua bản cập nhật chương trình cơ sở cho các khóa riêng tư của họ hay không mà tin tặc có thể tận dụng. Và, trong khi Bacca đã thừa nhận trong không gian Twitter rằng những người chọn tham gia dịch vụ về mặt kỹ thuật sẽ tự mở ra một hướng tấn công mới, một số người trong cộng đồng Web3 tin rằng những người không đăng ký dịch vụ thực sự không cần phải lo lắng. .

Những người tin rằng những người hoài nghi đang phản ứng thái quá đã chỉ ra thực tế rằng ví Ledger làvốn có thể nâng cấp để dập tắt nỗi sợ hãi về khả năng truy cập và bảo mật của chúng, cũng như cung cấp sự rõ ràng về những điều cơ bản về cách thức hoạt động của ví. Nếu không có khả năng nâng cấp, ví phần cứng sẽ mất chức năng, vì các chuỗi khối tự nâng cấp theo thời gian và bất kỳ thiết bị nào tương tác với chuỗi khối đều cần có khả năng thích ứng tương ứng.

Giờ đây, bằng cách tạo mã nguồn mở cho tính năng Khôi phục, Ledger sẽ cho phép người dùng đánh giá độc lập tính bảo mật của cơ chế lưu ký được đề xuất. Điều này cho phép người dùng tự tiến hành kiểm tra và tự mình xem liệu họ có tin vào tính an toàn của tính năng hay không.

“Trước tiên, tôi muốn nhắc lại rằng hầu hết mã của chúng tôi đã là Mã nguồn mở. Khi nói đến phần sụn, gần đây chúng tôi đã mã nguồn mở cryptolib của mình, SDK của chúng tôi là OSS trong nhiều năm và tất cả các ứng dụng của chúng tôi đã là OSS. Nhưng chúng tôi muốn tiến xa hơn,” Ledger CTOCharles Guillemetđã nói trong AMA .

Tuy nhiên, dịch vụ đăng ký có thể vô hại hoặc không, nó minh họa những thách thức trong việc truyền đạt các tính năng mới trong môi trường phản hồi nhanh của Web3. Tranh cãi về Phục hồi sổ cái, giống như nhiều tranh cãi trước đó, cũng làm sáng tỏ cuộc đấu tranh đang diễn ra mà các tổ chức lấy blockchain làm trung tâm phải đối mặt; đạt được sự cân bằng giữa trải nghiệm người dùng và duy trì các nguyên tắc cốt lõi của cộng đồng tiền điện tử làmột nhiệm vụ đầy thử thách .