ดราม่าร้อนฮาร์ดแวร์วอลเล็ต

สวัสดีครับทุกท่าน ประเด็นร้อนฝั่งด้านความปลอดภัยในวงการสินทรัพย์ดิจิทัล ในช่วงนี้คงหนีไม่พ้นเรื่องที่ Ledger ฮาร์ดแวร์วอลเล็ต ยอดนิยมที่ประกาศว่าจะเพิ่มบริการ Ledger Recover​​ ซึ่งก็แทบทำให้ผู้ใช้งานช็อกกันไปตาม ๆ กัน

ในตอนนี้ผมจะพารื้อฟื้นความทรงจำกันเรื่องวอลเล็ตสักเล็กน้อย แล้วจะได้เจาะประเด็นว่า ทำไมหลายคนในวงการถึงออกมาวิจารณ์ Ledger และวงการฮาร์ดแวร์วอลเล็ตจะไปทางไหนต่อได้บ้าง

ฟื้นความจำเรื่องวอลเล็ต 

ปกติแล้ว วอลเล็ตคริปโท จะประกอบไปด้วย 2 ส่วน ได้แก่ public key (นิยมเรียกกันว่า wallet address)และ private key ซึ่งก็ตามชื่อคือ public key เราบอกคนอื่นได้ เปรียบเสมือนเลขบัญชีของเรา ใช้บอกคนอื่นว่าจะให้โอนเข้าบัญชีเลขอะไร

 

และอีกส่วนคือ private key ก็ตามชื่อเราไม่ควรบอกคนอื่นไป เปรียบเสมือนลายเซ็นของเราที่ใช้ในยืนยันว่า เราเป็นผู้ทำธุรกรรมนั้นจริงๆ โดยเฉพาะการโอนเหรียญออกจากวอลเล็ต หรือการส่งคำสั่งอะไรให้ smart contract ครับ เหมือนไปสาขาธนาคาร ถ้าเราไม่เซ็นสลิปโอน หรือถ้าเราเซ็นไม่เหมือน ธนาคารก็จะไม่ทำธุรกรรมให้บล็อกเชนก็เช่นนั้นครับ เลขบัญชีกับลายเซ็นต้องถูกต้องถึงจะทำธุรกรรมได้

การใช้งานวอลเล็ต

เราสามารถแบ่งวอลเล็ต ที่ผู้ใช้ถือเหรียญเองออกเป็น 2 ประเภท โดยดูจากวิธีที่วอลเล็ตเก็บ private key ไว้ในรูปแบบไหน ได้แก่ซอฟต์แวร์วอลเล็ต และฮาร์ดแวร์วอลเล็ต ซึ่งก็ตามชื่อเช่นกันครับ ซอฟต์แวร์วอลเล็ตมักเก็บตัว private keyไว้ในแอปพลิเคชัน หรือส่วนเสริมเบราว์เซอร์         

ตัวอย่างซอฟต์แวร์วอลเล็ตที่น่าจะเป็นที่รู้จักกันมากที่สุด ก็คงหนีไม่พ้น MetaMask ครับ ซึ่งขั้นตอนการใช้งานก็จะค่อนข้างตรงไปตรงมา เรากดสร้างธุรกรรมบนแอป แล้วกดเซ็นหรือกดอนุมัติตัวธุรกรรมก็จะถูกส่งไปรอการตรวจสอบและบันทึกบนบล็อกเชนครับ

พอมาเป็นตัวฮาร์ดแวร์วอลเล็ตแล้ว ตัว private key ก็จะอยู่ในตัวฮาร์ดแวร์ ซึ่งหน้าตารุ่นที่ใช้กันแพร่หลายที่สุดก็คล้ายๆ แฟลชไดรฟ์ครับ หรือรุ่นหรูๆหน่อย ก็หน้าตาคลับคล้ายคลับคลากับทามาก็อตจิ(Tamagotchi)ในสมัยก่อน มีจอเล็กๆ ไว้แสดงข้อมูลพร้อมปุ่มเล็ก ๆ ไว้กดเลือกเหรียญและกรอกรหัสต่างๆ ครับ

เวลาเราสร้างธุรกรรมมาเนี่ย เราสร้างในแอปอะไรก็ได้ครับ เหมือนเขียนสลิปโอนเงินมา แล้วเราก็ส่งตัวธุรกรรมนั้น เข้าไปเซ็นในเจ้าฮาร์ดแวร์วอลเล็ต ซึ่งตามหลักการที่แทบจะทั้งวงการเชื่อกัน คือเจ้า private key มันจะไม่มีวันออกมาจากฮาร์ดแวร์วอลเล็ตครับ มันจะส่งกลับมาแค่ธุรกรรมที่เซ็นมาแล้วเท่านั้น อาจฟังดูวุ่นวายหน่อย แต่ก็มีข้อได้เปรียบด้านความปลอดภัยตรงที่เราเอาตัวชิ้นฮาร์ดแวร์ไปเก็บไว้ในที่ปลอดภัยอย่างตู้นิรภัย หรือจะเอาไปฝังไว้ในเกาะที่หายาก ๆ แบบสมบัติวันพีซก็ได้ครับ

ปัญหาเรื่องLedger Recover

Ledger ประกาศเพิ่มบริการเสริม Ledger Recover ซึ่งเป็นการกู้ private key ในกรณีที่คุณทำตัวฮาร์ดแวร์วอลเล็ตหาย หรือลืมรหัสผ่าน แล้วดันหาตัว seedphrase ไม่เจอ หรือว่าลืม แต่การจะทำแบบนี้ได้แปลว่าตัว private key จะต้องออกจากตัวชิ้นฮาร์ดแวร์มาอยู่กับบุคคลที่สามที่บริษัทไว้ใจ ซึ่งกลับกันก็จะต้องบังคับให้ผู้ใช้บริการนี้ทำการยืนยันตัวตน(KYC)เพื่อให้แน่ใจว่าเป็นเจ้าของkeyนั้นอีกด้วย

บริการนี้มีให้สำหรับผู้ใช้รุ่น Nano X ก่อน และเป็นบริการเสริมที่ต้องจ่ายค่าบริการเพิ่มซึ่งจะต้องมีการอัปเดตเฟิร์มแวร์อีกด้วย ซึ่งประเด็นที่ผู้ใช้หลายคนมีปัญหาด้วยนั้น ประการแรกคือการที่ private key สามารถออกมาจากชิ้นฮาร์ดแวร์ได้ ซึ่งค้านกับความเชื่อของผู้ใช้มาตลอด ประการที่สอง คือบริษัทสามารถออกเฟิร์มแวร์ที่เพิ่มความสามารถนี้กับฮาร์ดแวร์ได้ แสดงว่าตัวฮาร์ดแวร์อาจมีความสามารถนี้แฝงอยู่กับตัวมาตลอด และประการที่ 3 ก็เลยทำให้เป็นเรื่องใหญ่โตในวงการครับ เพราะฮาร์ดแวร์วอลเล็ต ยี่ห้อนี้มีส่วนแบ่งตลาดค่อนข้างสูงครับ

สถานการณ์ปัจจุบันและอนาคต 

ในตอนนี้ทาง Ledger ก็พยายามถอยมาหนึ่งก้าว โดยประกาศว่าจะเลื่อนการเปิดบริการ Ledger Recoverไป และจะพยายามเปิดซอร์สโค้ด(Source Code)ของตนให้มากที่สุด เพื่อให้ผู้ใช้ และผู้เชี่ยวชาญเข้ามาตรวจสอบดูโค้ดได้ครับ ซึ่งทางคู่แข่งในตลาดอย่าง Trezor ก็ประกาศว่าตนเปิดซอร์ส มาตั้งแต่เนิ่นๆ แล้วครับ ในทางนี้ก็ต้องรอดูกันว่า Ledger จะเปิดโค้ดออกมามากแค่ไหนและผู้ที่เข้าไปตรวจจะพบอะไรบ้าง และจะเรียกความเชื่อมั่นจากผู้ใช้กลับมาได้แค่ไหนครับ

ส่วนในภาพรวม สิ่งหนึ่งที่ต้องจำไว้ คือตัวเหรียญ หรือโทเคน ไม่ได้อยู่กับตัวฮาร์ดแวร์วอลเล็ตนะครับ มันอยู่ในบัญชีของเราบนบล็อกเชน ฉะนั้นต่อให้เราทำชิ้นฮาร์ดแวร์หาย แต่ถ้ายังมีรหัสป้องกันอยู่ ก็ยังอุ่นใจได้ในระดับหนึ่ง(ซอฟต์วอลเล็ตก็เช่นกันครับ ส่วนมากมีรหัสผ่านกันไว้อยู่) 

แต่ถ้าหายไปพร้อมรหัสผ่าน ก็มีโอกาสที่สินทรัพย์จะหายสูง แต่หากเราไม่เคยบอกรหัสผ่าน หรือPIN Code กับใคร และยังเก็บรักษา seedphrase ที่เป็นวลีที่วอลเล็ตจะบอกให้เราจดไว้ตอนที่สร้างวอลเล็ต เราก็จะยังกู้private keyได้ครับ ฉะนั้นการจดและเก็บรักษาseedphraseเป็นสิ่งที่สำคัญมาก เพราะจริง ๆ แล้วมันก็คือprivate keyนี่เอง

สุดท้ายนี้ผมขอทิ้งท้ายไว้ด้วยแนวคิดที่ว่า “ความสะดวกมักจะแลกมาด้วยเรื่องความปลอดภัย” ครับ ยิ่งสะดวกแค่ไหนก็มีโอกาสที่ความปลอดภัยจะต่ำลงเหมือนจำนวนล็อกประตูที่บ้านของเรา ยิ่งติดล็อกเยอะก็ยิ่งไม่สะดวกแต่ก็มีความปลอดภัยสูงขึ้น 

ฉะนั้นเราควรศึกษาเรื่องข้อดีและข้อเสียของการเก็บรักษาสินทรัพย์ดิจิทัลในแต่ละรูปแบบโดยเฉพาะในแง่ของความสะดวกและการใช้งานครับ