Peneliti Ledger telah menemukan kerentanan pada sistem operasi Android yang memungkinkan pencurian seed phrase kripto dalam hitungan detik.
Unit tersebut menerapkan bukti konsep untuk membuktikan ancaman di atas nyata.
Perkembangan ini menunjukkan bahwa smartphone tidak memiliki perlindungan keamanan yang diperlukan untuk bertindak sebagai fasilitas penyimpanan kripto.
Tim penelitian Donjon dari Ledger telah mengidentifikasi kerentanan keamanan pada prosesor MediaTek (yang umum digunakan pada ponsel Android) yang memungkinkan pelaku jahat mencuri pin ponsel pengguna dan seed phrase kripto mereka dalam hitungan detik. Serangan ini dikatakan dapat terjadi bahkan ketika perangkat dalam keadaan mati.
Tim melakukan uji konsep, di mana mereka berhasil memperoleh informasi sensitif terkait beberapa perangkat lunak (alias dompet panas) kripto. Korban termasuk Trust Wallet, Kraken Wallet, dan Phantom.
Pencurian kripto di OS Android
Charles Guillemet, Kepala Teknologi di perusahaan dompet perangkat keras Ledger, mencatat perkembangan ini sebagai "pengingat bahwa smartphone tidak dirancang untuk keamanan."
Guillemet menambahkan bahwa hal itu dapat memengaruhi “jutaan” ponsel Android, karena mereka mendominasi penggunaan global karena faktor ekonomi dan ketersediaan.
Setelah laporan tersebut, MediaTek mengambil tindakan untuk memperbaiki bug, sementara Trust Wallet memperkenalkan fitur keamanan baru yang mencegah pemalsuan alamat kripto.
Metode penyimpanan mana yang aman?
Dompet perangkat keras, seperti Ledger dan Trezor, telah mendapatkan reputasi dalam menyediakan keamanan yang lebih baik untuk cryptocurrency dibandingkan dompet perangkat lunak. Ini karena mereka memanfaatkan chip yang terpisah dari prosesor utama ponsel.
Namun, dengan penggunaan global sebesar 78%, dompet panas tetap menjadi pilihan utama di kalangan pemegang kripto karena efisiensi biaya dan kemudahan penggunaannya.
Meskipun demikian, pengguna penyimpanan dingin telah menjadi korban pencurian kripto melalui rekayasa sosial, manipulasi rantai pasokan, ekstraksi perangkat fisik, dan kecerobohan yang nyata.
Contoh yang baik dari yang terakhir adalah Layanan Pajak Korea Selatan, yang secara tidak sengaja memposting seed phrase ke dompet keras kripto yang disita. Contoh serangan brute force atau wrench adalah kasus terbaru pasangan Prancis yang dirampok hampir $1 juta dalam bitcoin.
Untuk sistem operasi, pengguna iOS belum sepenuhnya terlindungi, dengan kerentanan Coruna yang menambang informasi mata uang kripto sensitif pada versi iOS lama.
Kunci pengguna masih bisa dicuri saat menjalankan node, jadi mungkin dompet multisig adalah salah satu metode paling "tahan api" untuk menyimpan cryptocurrency.