Good day! 我们一起来看看本周的精选信息与分享。
1.Ledger硬件钱包计划推出”Recover”功能引风波
Rex’s Note:
Recover功能,简单理解就是在原先Ledger提供硬件钱包,通过套件升级,提供给用户一个新的功能选项 - 用户可以授权Ledger将Ledger钱包的助记词分拆成3个加密过的fragments,然后由Ledger及其授权的合作伙伴帮用户存放。助记词丢失后用户可以通过验证身份取回助记词明文,从而重新找回对钱包的控制;
一些更具体细节:
分片使用Shamir加密算法;
2/3规则,即取得3个分片之中的两个分片即可恢复出助记词明文;
使用Recover功能需要在Ledger官网做验证,提供包括email,身份信息甚至于Onfido活体认证等信息;
尽管看上去与MPC有些相似,但事实上并不相同 - Ledger暂时没提到过支持MPC,而且Ledger使用的机制与MPC的一些明显差别包括:Ledger是使用Shamir算法将助记词进行分片,存在不同服务器之中,而MPC多使用门限签名技术将私钥生成多个“子私钥”,也不存在“恢复出助记词明文”;
于是乎,一石激起千层浪。作为当下用户量最大的硬件钱包提供商,Ledger这一看似“用户体验友好”的更新引发了加密社区普遍的负面评价及讨论。核心不用猜,围绕着Ledger严重违背了crypto世界的“去中心化”精神,将硬件钱包最核心的私钥脱网特性向Web2式的用户体验做了妥协,从而牺牲了Ledger作为硬件钱包的关键安全性假设。
过去:Ledger硬件钱包的私钥无法离开钱包芯片
现在:可以了
事件一出,立刻引起了加密社区的巨大影响,铺天盖地的批评陆续出现,甚至有激动的Ledger用户上传了杂碎Ledger钱包的视频以表示对Ledger违背“加密生态初心”的愤怒;
事件发生的72小时之后,Ledger联合创始人、前CEO(2014-2019) Éric Larchevêque在Reddit社区“CryptoCurrency”中的一条Subreddit上做了一些回应,原话中提到了对他而言,整个事件是一场公关的失败,但不是技术层面上的失败。他认为他作为CEO做得不足的地方是在用户群体普遍对于硬件钱包技术了解不足的情况下,没有足够完整地对外传递Ledger的security model的信息。详见此链接。
其他硬件钱包厂商如Keystone,OneKey等据消息有一定时间的关注度/销量暴增;
关于硬件钱包的基础信息可回顾先前关于加密钱包的那期节目:
也可观看我最近陆续整理上传的Rex Talk系列精选短片,其中有不少硬件钱包安全的相关内容:点此前往。
2.Tornado Cash遭黑客攻击
Rex’s Note:
5月20日Tornado Cash遭遇了治理攻击 - 黑客通过恶意提议让自己获得了120万的投票权,远远超过常规的70万票的正当投票数,从而实质上获得了Tornado Cash治理的掌控权;
黑客这次的攻击是通过提交恶意的提案,声称这个提案和之前TC社区已经投票通过的另一个提案有相同的logic,从而骗取社区投票通过此提案 - 但事实上在提案中加入了额外的函数:“emergencyStop”。
正是这个 “emergencyStop” 函数,给予了黑客修改提案逻辑并授予自己120万投票权的权力;
黑客可以实现 提取已锁定投票、好近治理合约中的代币、禁用路由;之后也有信息指出,黑客可以通过升级合约来抽干Gnosis Chain上部署的由社区治理的Tornado Cash Nova相关池子中所有ETH;
几个小时之后,黑客确实如预料,抽干了已锁定投票的TORN token,似乎在Bitrue交易所转手;
TORN价格短时间内大跌,最大跌幅超过40%;
尽管后续情况还需要持续关注,但过去一年经历监管严厉打压而尝试走向合规的Tornado Cash经此一役,还是否能继续撑下去,实在难说。