阿里快讯(Alibtc.com)讯:加密货币冷钱包开发商Ledger再度因隐私问题引发疑虑。据《Cointelegraph》报导,匿名软件开发者和隐私倡导者REKT Builder昨(27)日在X平台上爆料,Ledger开发的Web3钱包应用程序Ledger Live会即时追踪使用者,并疑似在线上累积相关用户数据。
这位开发者调查了Ledger Live的Python代码后发现,每次使用者将Ledger装置连接到PC或手机时,该软件都会执行装置的真实性检查(genuinecheck),据了解真实性检查是Ledger Live为了检验客户是否购买到网络伪造的Ledger所推出的功能,但遭到开发者提出有隐私问题。
隐私开发者:Ledger Live会追踪用户
REKT Builder声称,在真实性检查的过程中,它会列出冷钱包上安装的每个应用程序,使Ledger Live软件能够知道钱包所有者在硬件上运行的内容,甚至是该钱包的加密货币余额。根据他的说法:Ledger Live将真实性检查嵌入到将apps串列(listApps)程序中。事实上,他们在安装或更新应用程序和软件时总是对您的装置进行肉搜(doxx)…它会列出您的设备中安装了哪些应用程序,因此他们也知道您在硬件上运行的内容。一旦您在装置上授权Manager,装置人肉搜索行动就会在Ledger Live与Ledger中央服务器交换的21个websocket传输协定之间发生…
对此REKT Builder向所有Ledger冷钱包用户呼吁,如果装置没有任何的其他问题,最好保持不要更新到最新版本,并且呼吁Ledger应该为高阶用户提供离线模式,可以离线操作钱包的交易。
Ledger5月因私钥备份功能惹争议
REKT Builder是一位匿名的研究员,其最初在12月6日爆料,声称Ledger Live正在记录用户的加密货币余额。次日,他发布了自称是Ledger Live的「无追踪器」开源替代品,名为「Lecce Libre」。
REKT Builder也表示,他曾尝试禁用这项远端追踪的程序,但发现这样软件会崩溃、无法使用,这意味着用户无法制作真正「无追踪器」版本的Ledger Live。而最后REKT Builder也提及Ledger的安全晶片有内建恢复功能,只要留有后门以及不安全的隐私问题,谁也不能保证钱包与财产的安全性。
针对REKT Builder发出的隐私疑虑,至截稿前Ledger仍未出面回应。
值得一提的是,在今年5月,Ledger也曾因推出帮助客户备份私钥的「Ledger Recover」服务,被开发者质疑存在后门并导致「私钥」泄漏的可能性,引发社群对Ledger钱包安全性的广泛疑虑。在这起争议事件后,Ledger最终推迟私钥备份功能到到10月下旬上线,同时承诺开源备受争议的Recover协议的代码。