扬帆股票网(www.yfbx.cn)讯:知名(ming)加密货币冷体钱包Ledger,周二(16日)推出了私钥恢复服务(wu)「Ledger Recover」,但隐含的资安问题,惹来加密(mi)社群巨大反弹。其后,高(gao)层们不断向客户强调产品的安全(quan)性,大派定心丸以(yi)求灭火。岂料客户支持的推特Ledger Support昨(18)日一则新贴(tie)文再惹起争议,但官方却选择删(shan)文应对,使得事件再度(du)升级。
Ledger客(ke)服推特﹕钱包软件一(yi)直允许私钥提取的功能
面对群情汹涌,Ledger尝试各方(fang)面渠道回应客户们的疑虑(lu)。5月16日当晚,体验长Ian Roger、技术长(chang)Charles Guillemet与联合创办人Nicolas Bacca举行AMA(Ask Me Anything),试图解答客(ke)户的疑虑,以及带出(chu)新产品的愿景。Ledger试图再进一步着手处理公关危机(ji),通过官方的客户支持推特账帐户Ledger Support,在17日起逐一回答客户(hu)的问题。
客户们显然对(dui)于客方客服的答复并不买账,忧虑(lu)旧产品存在「后门」问题,质疑官方如何确保(bao)旧产品不会受「更新」影响(xiang)。甚至有客户批评官方(fang)的回复没有真正回应到(dao)主要疑虑。官方随即发了一(yi)则贴文回复指,Ledger的钱包(bao)软件一直允许私(si)钥提取的功能,惟发文后不久又删(shan)文:从技术来说,(Ledger的(de)产品)一直保有发布新(xin)韧体提取私钥的可能。无论你(ni)知道与否,你一直信任着Ledger不会运用这样的韧体。
Ledger删文指被断章取义(yi)
这则贴文似乎不但没有(you)释除公众疑虑,反而帮倒忙,让大家确(que)信目前产品存在「后门」的问题。其后,Ledger Support删除了这(zhe)则贴文,让事情变得(de)再度升级。Ledger解释删(shan)除贴文是因为贴文被(bei)断章取义,强调(diao)产品软件设计存在多重保护,只是确保(bao)不会发生恶意攻击:这两段推文中的(de)第一段被断章取(qu)义了。进一步解释,程式码可(ke)被编写成符合你的需求。不过在Ledger的软件中有多重保护(hu)和治理,以确保没有攻击者(即使(shi)是Ledger的内部人员(yuan))能够发布恶意软件。Ledger安全设计和威胁模型确保处理(li)你的私钥时考虑当中的(de)安全。
技术长﹕完全开源不等同(tong)没后门
面对更多的质疑,有客户认为(wei)Ledger官方会否考虑把软件(jian)开源,以解除大家的(de)疑虑。技术长Charles Guillemet便(bian)在推特发长文解答(da),指目前Ledger大部分应用程(cheng)式来自社区扩写,而且是开源的。他强调官方更新软件是为(wei)了对应区块链持续更新的技术带来(lai)的安全风险。他重(zhong)申即便Ledger Recover能恢复代码,执行权(quan)仍需要客户同意。
惟安全晶片方面,考虑到(dao)安全问题,他表示安全(quan)晶片内含限制性的保密协议,不(bu)可能完全开源,但保(bao)证逐渐采用Raspberry Pi模型,以开放大部分代(dai)码。此前Ledger副总裁Nicolas Bacca也表示类似说法,指出晶(jing)片不可能完全公开原始程式(shi)码。
