Ledger adalah merek hardware wallet terlaris di dunia, dan bagi sebagian besar pengguna, ini merepresentasikan peningkatan keamanan yang signifikan dibandingkan menyimpan dana di bursa atau dompet perangkat lunak. Namun Ledger telah menghadapi kontroversi nyata — pelanggaran data pelanggan besar pada 2020, serangan rantai pasokan pada 2023, dan kontroversi signifikan tentang fitur Ledger Recover. Memahami peristiwa-peristiwa ini secara akurat sangat penting untuk membuat keputusan yang tepat tentang apakah Ledger tepat untuk model keamanan Anda.
Artikel ini memberikan Anda analisis keamanan lengkap dan jujur tentang perangkat keras, perangkat lunak, dan rekam jejak Ledger.
Arsitektur Keamanan Inti
Chip Elemen Aman
Fondasi keamanan Ledger adalah chip Elemen Aman (SE). Ini adalah kategori chip yang sama yang digunakan dalam:
- Kartu pembayaran EMV (Visa, Mastercard)
- Paspor elektronik
- Kartu SIM
- Kartu ID pemerintah
Elemen Aman adalah chip yang telah diperkuat secara fisik dirancang untuk menahan:
Nano X dan Nano S Plus menggunakan Elemen Aman ST33K1M5 dengan sertifikasi CC EAL5+. Stax dan Flex yang lebih baru menggunakan chip yang disertifikasi ke CC EAL6+, standar yang lebih tinggi. Untuk perbandingan, EAL6+ adalah level yang diperlukan untuk kartu pintar yang digunakan dalam program ID nasional.
Arsitektur Dua Chip
Perangkat Ledger menggunakan dua chip terpisah:
Pemisahan ini adalah fitur keamanan kunci. Bahkan jika penyerang mengorbankan MCU (yang menjalankan tampilan dan USB/Bluetooth), mereka tidak dapat mengakses kunci pribadi yang disimpan di Elemen Aman tanpa memecahkan keamanan fisik chip tersebut.
MCU dan SE berkomunikasi melalui saluran internal yang aman. SE memverifikasi integritas MCU saat startup — jika firmware MCU telah dirusak, SE mendeteksi ini dan memperingatkan pengguna.
CC EAL5+ vs EAL6+: Apa Artinya Sebenarnya?
Common Criteria (CC) adalah standar internasional untuk mengevaluasi keamanan produk teknologi informasi. Skala Evaluation Assurance Level (EAL) berkisar dari EAL1 (terendah) hingga EAL7 (tertinggi).
| Level | Deskripsi | Kasus Penggunaan Umum |
|---|---|---|
| EAL1 | Diuji secara fungsional | Elektronik konsumen dasar |
| EAL2 | Diuji secara struktural | Beberapa produk keamanan konsumen |
| EAL3 | Diuji secara metodis | Beberapa sistem perbankan |
| EAL4 | Dirancang secara metodis | Sebagian besar kartu pembayaran |
| EAL5+ | Dirancang dan diuji secara semi-formal | Ledger Nano X/S Plus, paspor |
| EAL6+ | Verifikasi desain semi-formal | Ledger Stax/Flex, beberapa sistem ID pemerintah |
| EAL7 | Diverifikasi secara formal | Sistem tingkat militer |
Perbedaan antara EAL5+ dan EAL6+ bermakna — EAL6+ memerlukan verifikasi formal yang lebih ketat terhadap desain chip. Namun, EAL5+ sudah jauh melampaui apa yang dicapai oleh sebagian besar elektronik konsumen dan mewakili pertahanan asli terhadap serangan fisik yang canggih.
Pelanggaran Data 2020
Pada Juli 2020, database e-commerce dan pemasaran Ledger diretas. Sekitar 272.000 pelanggan memiliki nama lengkap, alamat email, nomor telepon, dan alamat fisik mereka yang terekspos. Sekitar 1 juta alamat email juga telah bocor.
Apa yang TIDAK terekspos:
- Frasa pemulihan
- Kunci pribadi
- Dana
- Detail kartu pembayaran
- Kata sandi untuk akun Ledger
Serangan menargetkan database pemasaran Ledger, bukan perangkat keras itu sendiri, blockchain, atau materi kriptografi apa pun. Tidak ada yang kehilangan crypto sebagai hasil langsung dari pelanggaran ini.
Apa yang terjadi selanjutnya: Pelanggan Ledger mengalami serangan phishing yang luas dan canggih. Penjahat mengirim surat fisik ke alamat rumah mengaku mewakili Ledger dan meminta frasa pemulihan. Email meniru branding Ledger untuk menipu pengguna agar memasukkan frasa benih mereka di situs web palsu.
Pelajaran kunci: Perangkat keras tidak pernah dikompromikan. Namun, pelanggaran data menciptakan ancaman phishing yang bertahan lama bagi pelanggan yang terkena dampak. Jika Anda adalah pelanggan Ledger sebelum 2020, Anda tetap berisiko lebih tinggi terhadap phishing dan harus tetap waspada.
Serangan Ledger Connect Kit 2023
Pada Desember 2023, penyerang mengorbankan paket npm untuk Ledger Connect Kit — pustaka JavaScript yang digunakan oleh banyak situs web DeFi untuk terhubung ke perangkat Ledger melalui WalletConnect. Penyerang menyuntikkan kode berbahaya yang meminta pengguna untuk memasukkan frasa benih mereka melalui jendela modal palsu.
Apa yang dikompromikan: Lapisan DApp/browser — JavaScript yang berjalan di situs web
Apa yang TIDAK dikompromikan: Perangkat keras Ledger, firmware, atau Elemen Aman
Serangan mempengaruhi pengguna beberapa protokol DeFi termasuk SushiSwap dan lainnya selama jendela sekitar 5 jam sebelum Ledger menambal paket berbahaya. Ledger memperkirakan sekitar $600.000 dalam crypto dicuri dari pengguna yang memasukkan frasa benih mereka ke dalam prompt palsu.
Pelajaran kunci: Ini adalah serangan rantai pasokan perangkat lunak di lapisan web, bukan pada perangkat keras Ledger. Model keamanan fundamental perangkat keras tidak rusak. Namun, serangan menunjukkan risiko menghubungkan dompet perangkat keras ke DApp berbasis web — Anda mempercayai tidak hanya perangkat keras, tetapi seluruh tumpukan web. Jangan pernah memasukkan frasa benih Anda di antarmuka web apa pun, terlepas dari seberapa sah tampilannya.
Kontroversi Ledger Recover (2023)
Pada Mei 2023, Ledger mengumumkan Ledger Recover — layanan berlangganan berbayar yang membagi frasa benih Anda menjadi tiga fragmen terenkripsi menggunakan Shamir’s Secret Sharing dan menyimpan masing-masing dengan perusahaan penyimpan yang berbeda.
Pengumuman ini menciptakan reaksi keras karena satu alasan spesifik: ini mengungkapkan bahwa firmware Ledger mampu mengekstrak frasa benih dari Elemen Aman dan mengirimkannya melalui internet — sesuatu yang banyak pengguna asumsikan secara arsitektur tidak mungkin.
Posisi Ledger: Ledger Recover bersifat opt-in dan memerlukan persetujuan pengguna yang eksplisit. Elemen Aman masih melindungi kunci; Recover hanya menggunakan kemampuan yang ada untuk mengenkripsi dan mengekspor benih ketika pengguna memintanya.
Posisi kritikus: Keberadaan kemampuan ini berarti pengguna harus mempercayai bahwa Ledger tidak akan mengaktifkannya tanpa persetujuan, atau bahwa pembaruan firmware yang tidak sah (atau paksaan pemerintah) tidak dapat memaksa-mengaktifkannya. Ini bertentangan dengan jaminan sebelumnya dari Ledger bahwa kunci dapat “tidak pernah meninggalkan perangkat.”
Realitas keamanan: Ledger Recover memang mewakili perubahan dalam asumsi keamanan untuk perangkat Ledger. Pengguna yang membutuhkan kepastian mutlak bahwa kunci mereka tidak dapat pernah diekspor melalui internet sekarang memiliki alasan yang sah untuk mempertimbangkan kembali. Pengguna yang nyaman mempercayai implementasi Ledger tidak berisiko tambahan dari Recover jika mereka tidak berlangganan.
Untuk analisis lengkap Ledger Recover, lihat panduan khusus kami.
Status Kode Sumber Terbuka
Firmware Elemen Aman Ledger sebagian tertutup sumber — Ledger mengutip persyaratan NDA dengan produsen chip (ST Microelectronics) sebagai alasannya. Ledger OS (BOLOS) dan kode sumber aplikasi tersedia secara publik di GitHub.
Pendekatan sebagian tertutup sumber ini berarti peneliti keamanan independen tidak dapat sepenuhnya mengaudit firmware yang berjalan di Elemen Aman. Sebaliknya, seluruh firmware Trezor bersumber terbuka.
Ledger telah melakukan audit keamanan dengan firma pihak ketiga, tetapi tidak selalu sepenuhnya dipublikasikan. Ini adalah batasan asli dibandingkan dengan alternatif sumber terbuka penuh.
Perbandingan vs Pesaing
| Fitur Keamanan | Ledger Nano X | Ledger Stax | Trezor Safe 3 | Trezor Safe 5 |
|---|---|---|---|---|
| Elemen Aman | Ya (EAL5+) | Ya (EAL6+) | Ya (EAL6+) | Ya (EAL6+) |
| Firmware kode sumber terbuka | Sebagian | Sebagian | Penuh | Penuh |
| Opsi offline | Tidak | Tidak | Tidak | Tidak |
| Dukungan frasa sandi | Ya | Ya | Ya | Ya |
| Verifikasi rantai pasokan | Pemeriksaan asli | Pemeriksaan asli | Pemeriksaan asli | Pemeriksaan asli |
| Layar untuk verifikasi alamat | Ya | Ya | Ya | Ya |
Firmware kode sumber terbuka Trezor adalah keuntungan bermakna bagi puritan keamanan. Desain Elemen Aman Ledger memberikan perlindungan fisik yang lebih kuat terhadap serangan ekstraksi perangkat keras. Tidak ada yang secara objektif “lebih aman” untuk setiap pengguna — semuanya tergantung pada model ancaman Anda.
Vonis Keamanan Praktis
Untuk sebagian besar pengguna crypto, dompet perangkat keras Ledger mewakili pilihan keamanan yang sangat baik dan sesuai. Model keamanan perangkat keras — dengan Elemen Aman, konfirmasi tombol fisik, dan verifikasi alamat di layar perangkat — melindungi terhadap ancaman dunia nyata yang paling umum: phishing, malware, hack bursa, dan kerentanan perangkat lunak.
Risiko nyata bagi pengguna Ledger tidak berasal dari kompromi perangkat keras tetapi dari:
Dalam setiap kasus, perangkat keras itu sendiri bukan kerentanan — rekayasa sosial dan perilaku pengguna yang melakukannya. Ini sebenarnya adalah argumen untuk bahwa perangkat keras Ledger aman: penyerang membypass daripada memecahnya.
Garis bawah: Ledger adalah perangkat keras yang aman. Ancaman bagi pengguna Ledger berasal dari lapisan perangkat lunak dan rekayasa sosial, bukan dari cacat dalam Elemen Aman atau implementasi kriptografi perangkat.
Pertanyaan yang Sering Diajukan
T: Apakah ada yang pernah kehilangan crypto mereka secara langsung melalui exploit perangkat keras Ledger?
Tidak ada kasus yang terdokumentasi secara publik tentang dana yang dicuri melalui exploit langsung dari Elemen Aman Ledger atau desain perangkat keras inti. Pencurian dari pengguna Ledger melibatkan phishing, rekayasa sosial, dan pengguna secara sukarela mengungkapkan frasa benih.
T: Haruskah saya khawatir tentang pelanggaran data 2020?
Jika Anda adalah pelanggan Ledger sebelum pelanggaran, tetap waspada terhadap phishing. Dana Anda tidak pernah berisiko dari pelanggaran itu sendiri — hanya informasi kontak pribadi Anda yang terekspos.
T: Apakah Elemen Aman Ledger benar-benar tidak dapat ditembus?
Tidak ada perangkat keras yang benar-benar tidak dapat ditembus dengan waktu dan sumber daya yang tidak terbatas. Sertifikasi CC EAL5+/EAL6+ berarti sangat tahan terhadap serangan fisik canggih tercanggih, tetapi peneliti akademis telah menunjukkan kerentanan teoretis dalam desain Elemen Aman yang lebih lama. Dalam praktiknya, serangan praktis pada Elemen Aman modern yang disertifikasi sangat canggih dan tidak dapat diakses oleh penjahat sehari-hari.
T: Haruskah saya khawatir bahwa firmware Ledger dapat mengekstrak benih saya?
Ini adalah kekhawatiran yang sah yang dikemukakan oleh pengumuman Ledger Recover. Jika ini adalah masalah besar bagi Anda, firmware dan arsitektur sumber terbuka penuh Trezor mungkin lebih sesuai dengan model ancaman Anda.
T: Apakah lebih aman membeli Ledger langsung dari situs web Ledger?
Ya — selalu beli langsung dari ledger.com atau penjual resmi. Perangkat yang dibeli bekas atau dari penjual yang tidak sah mungkin telah dirusak.
T: Dapatkah otoritas pemerintah memaksa Ledger untuk mengakses dana saya?
Dengan pengaturan standar (tanpa langganan Ledger Recover), dana Anda tidak dapat diakses oleh Ledger atau pihak ketiga mana pun. Kunci hanya ada di perangkat Anda dan dalam cadangan frasa pemulihan Anda. Dengan Ledger Recover yang diaktifkan, fragmen benih Anda dipegang oleh pihak ketiga dan secara teoritis dapat menjadi subyek paksaan hukum.
Panduan terkait:
