虽然我之前已经了解过 Ledger Recover 的原理，但既然 Ledger 希望我继了解下… https://t.co/qdWIT8Fxdx 这不温习还好…我实在不理解一个本来很硬核的钱包品牌，为什么会把安全营销做得如此神奇，比如： Ledger Recover is completely secure … However, should someone steal your funds using Ledger Recover, Coincover offers users $50,000 in compensation. That just goes to show confidence in the product’s security. 这文案谁写的？完全安全？你都自认为完全安全了，怎么还有“但是”？然后这 $50,000 的赔偿对于硬件钱包群体，是不是过于不自信了？ 好，忽略文案，看看 Ledger 初始化后，在 App 里显著的 Recover 广告引导（如图1/2/3/4），如果我脑子发热且我有资格，我真的用了这个服务，此时我第一个明白的是：我硬件钱包里的助记词数据（我不管所谓的军工级加密）从我硬件钱包里分三片段分别发送给了三家公司，存储在广告里所说的 HSM 里，但我没法验证… 此时我大脑已经非常紧张了，我用的这款硬件钱包居然有个口子是可以把助记词数据（哪怕高强度加密）提出硬件钱包…通过网络发送出去… 而解密流程有个关键的验证机制是由身份验证公司来负责的，通过验证了就有机会拿到 Recover 里备份的片段（有三个片段里的两个即可），然后恢复… 当然我相信这些过程里还有许多细节是我没真的感受到的，我难以确定这套流程是不是很可靠，但我觉得 Ledger 打破了本该属于硬件钱包应有的安全边界。Ledger 如果要继续这个 Recover 业务，还不如从现有硬件钱包安全架构里隔离出去，完全独立掉，否则干脆出个带 Recover 服务的硬件钱包型号，想用的人买这个型号就行了，不想用的人，就别来干扰了。 秉承 UNIX KISS(Keep It Simple, Stupid) 思想，保持简洁，别搞复杂了，复杂之中必定留坑。 最后请注意：这里我仅发表我对 Ledger Recover 的安全意见，就这样。