5月16日晚，硬件钱包 Ledger 发布了 Nano X 冷钱包 2.2.1 固件更新，并宣布即将引入“Ledger Recover”功能。该功能采用了片段式储存的方式将用户助记词 (Secret Recovery Phrase) 分成三个片段，并要求用户提供个人身份信息作为绑定。令Ledger始料未及的是，这一功能的推出，引发了其用户社区的强烈反弹，许多人纷纷表达了对这一功能在个人隐私和安全方面的担忧。

根据 Ledger 介绍，Ledger Recover 本质是一种基于身份的私钥恢复服务，为客户提供助记词备份。如果客户丢失或无法访问助记词，可通过该服务使用 Ledger 设备安全恢复私钥。助记词将经过加密、复制并分成三个片段，每个片段各由一家独立公司提供保护，三家独立公司分别是 Coincover、Ledger 和一个独立的备份服务提供商。当客户想要恢复私钥时，其中两方会将片段发回 Ledger 设备，重新组装构建私钥。此外，Ledger Recover 需要用户向 Ledger 的身份验证服务商 Onfido 提交个人信息。

依照 Ledger 的设计，这种备份方式旨在增加数据丢失的容错性，却引发了一些用户对数据安全的担忧和对 Ledger 的信任危机。有用户担心，将个人信息存储在多个第三方的系统中可能会增加被黑客攻击的风险，导致资产的损失。还有一些用户指出，Ledger 一直强调用户的私钥永远不会离开设备，这也是其受欢迎的原因之一，而新功能的引入似乎违背了这一承诺，并且与加密社区的隐私价值观也不相符。

Ledger 私钥永不触网？ 

与其他硬件钱包相比，Ledger 长期以来的独特之处在于其 Secure Element 芯片。Ledger 声称该芯片可完全隔离保存私钥，因此很多人认为 Ledger 硬件钱包相当于 iPhone 的 Secure Enclave，让私钥完全无法被获取。但新功能 Recover 的发布似乎打破了这个印象，向用户传达了私钥可以以加密的形式离开 Secure Element 的信息。尽管 Recover 功能是可选的服务，但 Nano X 的固件更新仍会将这一功能植入操作系统。

从技术层面来看，Ledger 实际是要求用户对其“100%”信任，因为整个助记词加密和传输的过程都是封闭且无法验证的。目前，Ledger 还未向用户展示 Ledger 的恢复服务如何安全地加密用户数据并在底层运行，除了 Ledger 自己，没有其他人可以验证整个过程的安全性。

尽管 Ledger Recover 并未让助记词以未加密的状态离开设备，用户担忧的是：Ledger 事实上已经提供了一个可以通过 USB/BT 发送助记词的代码。这种情况存在黑客通过恶意攻击将冷钱包变成热钱包，并获取用户助记词的可能性。同时，用户也无法确定 Ledger 是否能够防止黑客将加密的助记词片段全部发送给一个人，也无法确定助记词片段是否只能由用户自己解密。