Iqbal MaulanaCryptoharian – Ledger, penyedia dompet kripto perangkat keras yang terkenal baru-baru ini memperkenalkan layanan langganan pemulihan baru mereka. Namun, pengguna Twitter bernama Seth (@sethforprivacy) mengungkapkan kekhawatiran mengenai bahaya yang mungkin terkait dengan penawaran ini.
Dalam postingan Twitternya, Seth melaporkan bahwa layanan pemulihan ini mengharuskan pengguna menghubungkan identitas mereka dengan akun Ledger, yang berpotensi menimbulkan risiko tambahan terkait dengan kebocoran data, serangan hacker dan pengawasan pemerintah.
“Dengan mempercayakan pihak ketiga dengan data identifikasi pribadi dan informasi kripto, pengguna terpapar risiko akses tidak sah atau eksploitasi data mereka sebagai sumber pendapatan,” ungkap Seth.
Ledger Live, perangkat lunak yang digunakan oleh sebagian besar pengguna Ledger, menggunakan “nodes” Ledger untuk sinkronisasi dompet yang secara efektif mengungkapkan rincian dari kegiatan kripto pengguna.
Integrasi ini mengorbankan privasi, lantaran Ledger dapat dengan mudah menghubungkan kegiatan tersebut dengan identitas pengguna, sehingga memunculkan kekhawatiran tentang sejauh mana pengumpulan data dan potensi penyalahgunaan.
Seperti halnya, perusahaan yang bertanggung jawab atas proses KYC (Know Your Customer) dengan mengumpulkan dan menyimpan informasi pribadi yang sensitif, termasuk dokumen identifikasi, video selfie, dan data perangkat.
Baca Juga: Analisis 4 Kripto Favorit Trader Indonesia: Bitcoin, Ethereum, Shiba Inu, Dogecoin
“Onfido memiliki profil lengkap identitas pengguna dan status mereka sebagai pengguna Ledger, menunjukkan kepemilikan jumlah kripto yang signifikan. Mempercayakan informasi ini kepada pihak ketiga memunculkan kekhawatiran tentang keamanan data dan kemungkinan penggunaan tanpa izin,” ujarnya.
Dalam hal ini, Seth juga menyoroti kecenderungan kode sumber “Recover” Ledger yang tertutup. Ketidaktransparanan ini berarti hanya Ledger yang dapat memverifikasi keamanan dan proses yang terlibat.
Meskipun Ledger mengklaim bahwa seed (kunci pemulihan) tidak pernah meninggalkan perangkat dalam keadaan terenkripsi, verifikasi independen atas klaim ini tidak mungkin dilakukan, sehingga pengguna meragukan keamanan dan metode enkripsi yang digunakan.
“Dengan memasukkan kode yang dirancang untuk mengirimkan seed melalui USB atau Bluetooth, Ledger secara tidak sengaja menghadirkan vektor serangan baru, seperti phishing dan malware,” kata Seth.
Hal ini menimbulkan risiko yang signifikan, karena pengguna mungkin tanpa sadar mengungkapkan frase seed mereka kepada pelaku kejahatan. Ketidakpastian mengenai langkah-langkah pencegahan terhadap pengiriman semua fragmen ke satu custodian atau proses dekripsi juga menciptakan keraguan mengenai keamanan keseluruhan proses pemulihan.
Baca Juga: Banyak Analis Setuju Level Ini Jadi Penentu Naik Atau Tidaknya Harga Bitcoin
Proses pemulihan ini, lanjut Seth, menimbulkan pertanyaan mengenai mekanisme dekripsi. Meskipun pengguna harus masuk dan memverifikasi identitas mereka, masih belum jelas bagaimana perangkat baru akan memperoleh kunci dekripsi.
“Biasanya, skema enkripsi ujung ke ujung membutuhkan persetujuan untuk perangkat baru dan penyediaan kunci dekripsi. Dalam kasus kehilangan perangkat Ledger, ketidakmampuan untuk memberikan persetujuan ini menimbulkan kekhawatiran tentang siapa yang memiliki kunci dekripsi dan bagaimana kunci tersebut disimpan dan diverifikasi dengan aman,” paparnya.
Menurutnya, penggunaan layanan pemulihan Ledger bersama dengan fakta bahwa para custodian dan penyedia identitas berbasis di Inggris dan Amerika Serikat, menimbulkan kekhawatiran tentang risiko penyitaan oleh pemerintah atau penegak hukum. Dengan akses ke informasi identifikasi, otoritas dapat meminta data pengguna dan potensial menyita dana.
“Hal ini merusak alasan utama mengapa banyak pengguna memilih dompet perangkat Ledger, yaitu untuk memastikan penyimpanan dingin (cold storage) dan meminimalkan risiko semacam ini,” ucap Seth.
Sementara itu, sebuah unggahan di Twitter oleh seorang influencer kripto bernama Foobar telah memicu gelombang kekhawatiran dan kritik seputar Ledger. Dalam postingannya, ia menyebutkan ada sebuah kelalaian yang sangat serius, kesalahan pengertian terhadap tujuan produk mereka sendiri,
“Lalu sekarang mereka secara terbuka mengakui melakukan backdoor secara sengaja pada perangkat keras mereka,” tuturnya.
Dalam hal ini, Foobar mengklaim bahwa Ledger sebelumnya mengalami kebocoran data terkait nama dan alamat pelanggan, yang mengurangi kemampuan perusahaan untuk melindungi informasi sensitif pengguna. Selain itu, lanjutnya, ajakan dari Ledger agar pelanggan menggunakan produk mereka sebagai perhiasan umum telah menimbulkan kekhawatiran di kalangan pengguna yang peduli dengan keamanan.
Kekhawatiran utama yang disampaikan dalam unggahan tersebut berkaitan dengan perangkat keras proprietary Ledger dan backdoor yang disengaja. Sebagaimana yang disebutkan oleh “foobar”, hard wallet seharusnya memiliki ruang aman (secure enclave) di mana kunci pribadi tidak pernah keluar dari perangkat tersebut dalam keadaan apa pun.
Namun, Foobar menuding bahwa Ledger telah membuka API yang memungkinkan ruang aman tersebut mengirim pecahan kunci terenkripsi kepada pihak ketiga di internet.
“Perkembangan ini telah menimbulkan kekhawatiran bahwa materi kunci pribadi dapat terancam, baik melalui penyalahgunaan oleh peretas yang memanfaatkan kelemahan perangkat lunak maupun melalui pembaruan firmware di masa depan,” lanjut Foobar.
Mengingat tuduhan dan kekhawatiran seputar Ledger, Foobar menyarankan para pengguna untuk mempertimbangkan opsi dompet perangkat keras alternatif. Namun, penting bagi individu untuk melakukan penelitian mereka sendiri dan dengan hati-hati mengevaluasi fitur keamanan dan reputasi dompet apa pun yang mereka pertimbangkan.
Sebelum memutuskan untuk berinvestasi pada mata uang kripto, senantiasa lakukan riset karena kripto adalah aset volatil dan berisiko tinggi. Cryptoharian tidak bertanggung jawab atas kerugian maupun keuntungan anda.
Muhammad Syofri
