Dompet perangkat keras Trezor mengandung kerentanan pada chip Elemen Aman TROPIC01, demikian yang diungkapkan oleh audit dari divisi keamanan Ledger. Perusahaan di balik perangkat penyimpanan dingin yang populer ini segera meyakinkan pengguna bahwa dana tetap aman meskipun terdapat celah tersebut.
Celah pada Elemen Aman
Kerentanan ini ditemukan oleh Ledger Donjon, tim riset keamanan internal dari pesaing Trezor, Ledger. Kerentanan ini memengaruhi chip TROPIC01, sebuah prosesor aman khusus yang dirancang untuk melindungi kunci privat dan operasi sensitif. Audit tidak menyebutkan apakah kerentanan dapat dieksploitasi dari jarak jauh atau memerlukan akses fisik, namun Trezor telah mengakui temuan tersebut.
Elemen aman adalah komponen standar dalam dompet perangkat keras, yang dimaksudkan untuk memberikan lapisan perlindungan tambahan terhadap gangguan dan serangan saluran samping. Kelemahan pada komponen ini secara teoretis dapat memungkinkan penyerang mengekstrak kunci atau melewati pemeriksaan keamanan. Trezor belum merilis detail mengenai sifat pasti kerentanan tersebut, merujuk pada proses audit yang masih berlangsung.
Tanggapan Trezor
Dalam sebuah pernyataan setelah pengungkapan, Trezor mengatakan dana pengguna 'aman.' Perusahaan tidak mengumumkan penarikan produk, tambalan perangkat tegar, atau tindakan segera apa pun bagi pelanggan. Jaminan ini menunjukkan bahwa kerentanan tidak membuat dompet aktif rentan terhadap pencurian dalam kondisi normal, atau bahwa serangan memerlukan kondisi yang sulit dipenuhi dalam praktik.
Pendekatan Trezor terhadap keamanan sering kali mengandalkan transparansi—perusahaan merilis perangkat tegar sumber terbuka dan telah mengundang audit pihak ketiga di masa lalu. Namun, keheningan mengenai perbaikan meninggalkan beberapa pertanyaan. Produsen dompet perangkat keras lain biasanya menerapkan pembaruan segera setelah kerentanan dilaporkan, meskipun risikonya rendah.
Peran Ledger Donjon
Ledger Donjon memiliki rekam jejak dalam menemukan celah pada produk pesaing. Tim tersebut sebelumnya mengungkapkan kelemahan pada model Trezor yang lebih lama, termasuk One dan Model T. Temuan terbaru ini melanjutkan pola tersebut. Ledger dan Trezor bersaing untuk pasar pengguna mata uang kripto yang menginginkan penyimpanan dingin, sehingga audit ini memiliki nuansa persaingan. Namun, pengungkapan itu sendiri mengikuti norma industri: peneliti membagikan temuan kepada vendor sebelum dipublikasikan, memberi waktu untuk perbaikan.
Belum jelas kapan audit dimulai atau berapa lama Trezor memiliki waktu untuk merespons sebelum berita tersebut pecah. Tidak adanya tambalan pada saat pengungkapan mungkin menunjukkan bahwa kerentanan dianggap berkategori rendah, atau bahwa diperlukan revisi perangkat keras, bukan sekadar pembaruan perangkat lunak.
Apa yang perlu diketahui pengguna
Untuk saat ini, pesan Trezor sederhana: jangan lakukan apa pun. Perusahaan menyatakan bahwa dana tidak dalam risiko. Pengguna yang khawatir dapat mengambil tindakan pencegahan dasar—menggunakan frasa sandi yang kuat, memperbarui perangkat tegar secara rutin, dan membeli perangkat hanya dari saluran resmi. Namun, Trezor belum mengeluarkan peringatan khusus atau perubahan panduan.
Insiden ini menekankan permainan kucing-dan-tikus yang terus berlangsung dalam keamanan perangkat keras. Dompet yang dulunya dianggap tak tertembus secara berkala diuji oleh peneliti topi putih, dan produsen merespons sesuai. Ujian sesungguhnya akan datang jika kerentanan di masa depan terbukti lebih serius daripada yang satu ini.
