硬件钱包提供商 Ledger 在宣布其 Nano X 固件推出一个备受争议的新功能几天后，便迅速取消了这一功能。为回应 Web3 社区的强烈抗议，Ledger 承诺开源更多的代码库，其核心操作系统和深处漩涡中心的 Ledger Recover 将成为首批开源的部分。

Ledger 最初推出这一新功能的目的是让用户更轻松地自行管理自己的资产，通过将私钥助记词分成三份并由三个平台进行备份，让用户更便于恢复他们的私钥。然而，倡导隐私和自主权的 Web3 社区对此举感到意外，而市场反应也与预期完全相反。起初，Ledger CEO 坚持认为非 Web3 用户需要这样的功能，但最终无法抵挡公众舆论的声讨。

这次 Ledger 新功能能引得大众议论纷纷表明，至少对于 Web3 社区来说，不应以牺牲安全为代价来优化用户体验，必须谨慎权衡好用户体验和安全。尤其对于区块链公司来说，如果将自己定位在错误的一边，不论产品多么简单易用，都将与 Web3 用户渐行渐远。对于 Ledger 来说，这是一次公开而深刻的教训，我们也应当引以为戒。

为何 Ledger Recover 适得其反

加密社区为何对 Ledger Recover 大为愤慨？硬件（冷）钱包通常被视为保管加密资产最安全的方式之一，但是 Ledger 提出的恢复功能在几个关键点上违反了安全硬件供应商应遵循的基本原则 —— 安全性。

首先，可选的恢复服务是基于用户身份 ID 进行的，也就是说，这项服务要求用户提供 KYC 信息。但是，盗取身份 ID 信息远比想象的更加普遍，作恶方可能拿到用户身份信息，从而获得用户资产的访问权限，这样反而为 Ledger 硬件钱包提供新的攻击方式。

其次，Ledger 更新的恢复固件将用户的助记词分成三个加密片段，每个片段将由一个平台进行存储，然而，Ledger 并未披露所有参与的平台。这使得用户不仅需要面对依赖第三方服务的潜在风险，而且用户甚至不知道另一个第三方提供商是哪个机构，因为 Ledger 最初只披露了参与此恢复服务的两个平台，用户也无法选择去信任哪个保护者。

我相信基于 Ledger 长期以来建立的良好声誉，它在 Web3 社区中享有很高的信赖度。然而，在最初推出 Ledger Recover 时选择不披露所有第三方平台（尽管现在已全部告知），再加上当前恢复功能的实现技术仍然是黑盒状态，这确实破坏了其与用户长期建立起来的信任。现在，Ledger 已经承诺开源这项技术，这无疑是朝着正确的方向迈出的一步。但在正式开源之前，仍然会有人持怀疑态度。