Ledger Recover 爭議解析:你有什麼替代選擇?
發生了什麼事?Ledger Recover 事件回顧
2023 年 5 月,硬體錢包龍頭 Ledger 宣布推出一項名為「Ledger Recover」的付費服務,瞬間在加密貨幣社群引發軒然大波。這項服務允許用戶透過韌體更新,將助記詞加密分片後傳送給三家第三方託管商進行雲端備份。Ledger 表示這是為了幫助用戶在遺失裝置時恢復資產,但社群的反應卻截然相反。
反彈之所以如此劇烈,是因為 Ledger 長期以來的核心賣點就是「私鑰永不離開裝置」。而 Recover 服務的存在,證明了韌體具備將私鑰傳出裝置的技術能力 — 即使你從未啟用這項服務。這個發現從根本上動搖了用戶對 Ledger 安全模型的信任。
2023 年 5 月宣布 → 社群強烈抵制 → Ledger 推遲上線並承諾開源部分程式碼 → 2023 年 10 月正式上線(僅限部分地區)→ 至今仍是加密社群最具爭議的話題之一。
Ledger Recover 怎麼運作?技術拆解
了解爭議之前,我們先來看 Ledger Recover 的技術運作方式:
Ledger 裝置的安全元件(Secure Element)中儲存的助記詞,被韌體讀取並準備進行分片處理。這一步是整個爭議的核心 — 助記詞首次被韌體「主動存取」以進行傳輸。
助記詞被分成三個加密片段(使用類似 Shamir 秘密分享的方式),每個片段各自加密。理論上,任何單一片段都無法還原完整助記詞。
三個加密片段透過安全通道分別傳送給 Coincover、Ledger 自身、以及第三家獨立備份服務商。恢復時需要任意兩家的片段加上身份驗證。
用戶需要提供護照或身分證等政府發行的身份證件,與分片綁定。恢復時需要通過身份驗證才能取回片段。
表面上看,這個流程似乎有一定的安全性。但問題在於:為了實現這個功能,Ledger 的韌體必須具備將助記詞從安全元件中讀出並傳輸到外部的能力。而這個能力的存在,才是真正令人不安的地方。
為什麼社群強烈反彈?三大核心爭議
爭議一:私鑰離開裝置 = 攻擊面擴大
硬體錢包的安全前提是:私鑰只存在於裝置的安全元件中,任何軟體(包括韌體本身)都不應該有能力將私鑰傳出裝置。Ledger Recover 打破了這個前提。即使傳輸過程是加密的,私鑰在離開安全元件的瞬間就已經暴露在更大的攻擊面之下。網路傳輸、託管商伺服器、身份驗證系統 — 每一個環節都是潛在的攻擊點。
爭議二:封閉韌體無法驗證
Ledger 的安全元件使用的是封閉原始碼的韌體。用戶無法自行審計韌體的行為,只能依賴 Ledger 的聲明來判斷安全性。當韌體被證明具備提取私鑰的能力時,一個嚴肅的問題浮現了:你怎麼知道韌體沒有在你不知情的情況下做其他事情?這不是技術能力的問題,而是信任模型的根本缺陷。
爭議三:政府與第三方介入風險
Recover 服務要求用戶提供政府身分證件,並將分片託管給特定公司。這引發了更深層的擔憂:如果政府要求託管商交出分片資料呢?如果託管商被駭客入侵呢?如果 Ledger 因商業壓力修改了恢復條件呢?加密貨幣的核心精神是去中心化和自主權,而 Recover 服務在本質上引入了中心化的信任依賴。
問題不在於 Recover 服務本身的加密是否夠強,而在於韌體具備了將私鑰傳出裝置的能力。一旦這個能力存在,它是否只用於你選擇啟用的場景,就完全取決於你對 Ledger 的信任。
信任模型的根本矛盾
要理解這場爭議的深層意義,我們需要比較不同錢包的信任模型:
| 信任模型 | 你需要信任的對象 | 風險等級 |
|---|---|---|
| 交易所託管 | 交易所不會跑路、不會被駭 | 高風險 |
| Ledger + Recover | Ledger 韌體、三家託管商、身份驗證系統 | 中風險 |
| Ledger(不啟用 Recover) | Ledger 韌體不會惡意利用提取能力 | 中低風險 |
| 開源硬體錢包(如 Trezor) | 開源程式碼的正確性(可審計) | 低風險 |
| ArcSign USB 冷錢包 | 公開演算法(XOR + AES-256)、你自己的 USB | 低風險 |
自託管的核心原則是最小化信任依賴。你需要信任的環節越少,安全性就越高。理想的冷錢包方案應該讓你只需信任公開可驗證的加密演算法本身,而不需要信任任何特定公司的善意或能力。
Ledger 替代方案比較
如果你因為 Recover 爭議正在考慮替代方案,以下是主要選擇的比較:
| 方案 | 類型 | 開源 | 私鑰離開裝置? | 備份方式 | 價格 |
|---|---|---|---|---|---|
| Ledger Nano | 硬體錢包 | 部分開源 | Recover 可啟用 | 紙本助記詞 / Recover | $79-$149 |
| Trezor | 硬體錢包 | 完全開源 | 不會 | 紙本助記詞 / Shamir | $69-$219 |
| Keystone | 氣隙硬體錢包 | 開源 | 不會(QR code) | 紙本助記詞 | $119-$169 |
| ArcSign | USB 冷錢包 | 計畫開源 | 永不離開 USB | .arcsign 加密備份檔 | 免費 |
每種方案都有自己的優勢和取捨。選擇的關鍵在於:你願意接受什麼樣的信任模型?你最看重安全性、便利性、還是成本?如果你希望零成本開始冷儲存,同時擁有比紙本助記詞更安全的備份方式,ArcSign 可能是最適合你的選擇。
ArcSign 的不同做法:離線加密備份
ArcSign 從設計之初就堅持一個原則:私鑰永遠不需要離開你的 USB 裝置,備份也不需要經過網路。以下是 ArcSign 如何解決備份問題的:
XOR 三分片加密:私鑰的日常保護
ArcSign 在錢包建立時,立即將私鑰用 XOR 三分片加密拆分成三個完全隨機的片段。原始私鑰隨即從記憶體中銷毀。三個片段分別以 AES-256-GCM 加密後存放在 USB 的不同位置。任何單一片段都不包含關於私鑰的任何資訊。
.arcsign 加密備份檔:取代紙筆和雲端
當你需要備份時,ArcSign 提供一鍵匯出 .arcsign 加密備份檔的功能。這個備份檔在匯出時就已經以 AES-256-GCM + Argon2id 加密完成 — 不需要額外設定密碼,匯出即加密。你只需要把它存到第二支 USB 或外接硬碟即可。
整個過程完全離線,不需要網路連接,不需要第三方服務,不需要提供身分證件。你的備份檔在你手裡,你的私鑰在你的 USB 裡,沒有人可以要求交出任何東西。
mlock 記憶體保護:簽名時的額外防線
當需要簽署交易時,ArcSign 在受 mlock 保護的記憶體空間中短暫還原私鑰,簽名完成後立即清零。整個私鑰曝露窗口僅 1-5 毫秒,且記憶體不會被交換到硬碟。這意味著即使在簽名的瞬間,惡意軟體也幾乎不可能截取到私鑰。
Ledger Recover 將助記詞上傳到雲端交給第三方保管。ArcSign 的 .arcsign 備份檔則從未離開你的實體裝置。一個需要信任三家公司和網路安全,一個只需要信任數學和你自己。
自託管安全檢查清單
無論你使用哪種錢包,以下是確保自託管安全的基本檢查清單:
你的錢包是否有任何機制可以將私鑰傳送到外部?如果有,即使是「可選」功能,也代表攻擊面更大。
你的備份是紙本助記詞(有物理安全風險)、雲端服務(有第三方風險),還是離線加密檔案(最佳實踐)?
你能驗證錢包軟體或韌體確實只做了它聲稱的事情嗎?開源軟體在這方面有天然優勢。
不要把所有雞蛋放在一個籃子裡。建議同時保留助記詞(密封保存)和加密備份檔(第二支 USB 離線保存)。
備份的價值只有在你確認能成功恢復時才存在。定期用測試錢包驗證你的恢復流程是否順暢。
常見問題 FAQ
Q:Ledger Recover 是什麼?為什麼會引發爭議?
Ledger Recover 是 Ledger 推出的付費助記詞雲端備份服務。它將你的助記詞加密分片後傳送給三家第三方託管商保管。爭議在於:硬體錢包的核心承諾是私鑰永不離開裝置,而這項服務直接違背了這個原則。即使是加密傳輸,私鑰一旦離開裝置就增加了攻擊面。
Q:不使用 Ledger Recover 的話,Ledger 硬體錢包還安全嗎?
如果你不啟用 Recover 功能,Ledger 硬體錢包本身的安全性仍然存在。但爭議的核心問題是:韌體中已經內建了將私鑰傳出裝置的能力,這代表技術上存在後門可能性。用戶無法完全驗證封閉原始碼的韌體是否只做了它聲稱的事情。
Q:有哪些 Ledger 的替代方案可以安全保管私鑰?
替代方案包括:Trezor(開源韌體)、Keystone(氣隙式硬體錢包)、以及 ArcSign(免費 USB 冷錢包)。ArcSign 的優勢在於不依賴專屬硬體,使用 XOR 三分片加密保護私鑰,並提供 .arcsign 加密備份檔取代紙本助記詞,在安全性和便利性之間取得了最佳平衡。
Q:ArcSign 的 .arcsign 加密備份檔和 Ledger Recover 有什麼不同?
最大的區別在於:.arcsign 備份檔完全離線,不需要網路傳輸,不依賴第三方託管商。匯出時自動以 AES-256-GCM + Argon2id 加密,你可以存到第二支 USB 或外接硬碟。即使備份檔被他人取得,沒有你的密碼也完全無法破解。你始終掌握自己的私鑰,不需要信任任何第三方。