炒股大本营(ying)(www.dzyb.cn)讯:知名加密货币冷体钱(qian)包Ledger,周二(16日)推出了私钥恢复服务(wu)「Ledger Recover」,但隐(yin)含的资安问题,惹(re)来加密社群巨大(da)反弹。其后,高层们不断向(xiang)客户强调产品的安全(quan)性,大派定心丸以求灭(mie)火。岂料客户支持的推(tui)特Ledger Support昨(18)日一则新(xin)贴文再惹起争议,但官方(fang)却选择删文应对,使得事件再度升级。
Ledger客服推特﹕钱包软(ruan)件一直允许私钥提取的功(gong)能
面对群情汹涌(yong),Ledger尝试各方(fang)面渠道回应客户们的疑虑(lu)。5月16日当晚,体验长Ian Roger、技术长Charles Guillemet与联(lian)合创办人Nicolas Bacca举行AMA(Ask Me Anything),试图解答客户的(de)疑虑,以及带出(chu)新产品的愿景。Ledger试图再进(jin)一步着手处理公关危机,通过官方的(de)客户支持推特账帐户Ledger Support,在17日起逐一回答客户的问(wen)题。
客户们显然对(dui)于客方客服的答复并不买账,忧虑旧产(chan)品存在「后门」问(wen)题,质疑官方如何确保旧产品不(bu)会受「更新」影响。甚至有客户批评官方的回复(fu)没有真正回应到主要疑虑。官方随即发(fa)了一则贴文回复指,Ledger的钱(qian)包软件一直允许私钥提取的功能(neng),惟发文后不久又删文:从技术来说,(Ledger的产品)一直保有发布新韧体提取私钥的可能。无论你知道与否,你一直信任着Ledger不会运用这样的(de)韧体。
Ledger删文指被断章取义
这则贴文似(si)乎不但没有释除公众疑虑,反而(er)帮倒忙,让大家确信目前产品存在(zai)「后门」的问题。其后,Ledger Support删除了这则贴文(wen),让事情变得再度升(sheng)级。Ledger解释删除贴文是(shi)因为贴文被断章取义,强调产品软件(jian)设计存在多重保护,只是确保不会发生(sheng)恶意攻击:这两段推(tui)文中的第一段被断章取义了。进一步(bu)解释,程式码可被编写成符合你的需(xu)求。不过在Ledger的软件中有(you)多重保护和治理,以确保(bao)没有攻击者(即使是Ledger的内部人员)能够发布恶意软(ruan)件。Ledger安全设计和威胁模(mo)型确保处理你的私钥时考虑当中(zhong)的安全。
技术长﹕完全开(kai)源不等同没后门
面对更多的质(zhi)疑,有客户认为Ledger官方会否考虑把软(ruan)件开源,以解除大家的疑虑。技术长Charles Guillemet便在推特发长文解答,指目前Ledger大部分应用程式来自社(she)区扩写,而且是开源的。他强调(diao)官方更新软件是(shi)为了对应区块链持续更新的(de)技术带来的安全风险。他(ta)重申即便Ledger Recover能恢复代码,执行(xing)权仍需要客户同意。
惟安全晶片方面,考虑到安(an)全问题,他表示安全(quan)晶片内含限制性的保密协议,不可能完全开源,但保证逐渐采用Raspberry Pi模型,以开放大部分(fen)代码。此前Ledger副总裁Nicolas Bacca也表示类似说法(fa),指出晶片不可能完全公开原(yuan)始程式码。
