Solana Seeker Chip Mengalami Kerentanan Fatal! Ledger Ungkap Kunci Privat Bisa Dicuri Lewat Serangan Listrik dan Tidak Dapat Diperbaiki

Laboratorium Keamanan Paris Ledger Donjon merilis hasil penelitian yang menunjukkan jutaan ponsel Android yang menggunakan chipset MediaTek Dimensity 7300 memiliki kerentanan Boot ROM yang tidak dapat diperbaiki melalui pembaruan perangkat lunak, dan ponsel kripto Solana Seeker juga menggunakan prosesor ini. Para peneliti berhasil merebut hak akses tertinggi EL3 melalui “injeksi gangguan elektromagnetik” (EMFI), sehingga dapat membaca kunci privat dompet kripto.

Cacat Boot ROM: Pemeriksaan Keamanan Gagal Dalam Sekejap Saat Booting

Boot ROM adalah kode satu-satunya yang bisa dijalankan saat chip dinyalakan, setara dengan DNA perangkat keras. Ledger Donjon menjelaskan di blog resminya, penyerang hanya perlu menyuntikkan pulsa elektromagnetik tertentu dalam beberapa mikrodetik pertama chip MediaTek dinyalakan, sehingga pemeriksaan keamanan gagal sesaat, lalu dapat langsung menjalankan program apa pun di level EL3. EL3 (Exception Level 3) adalah level hak akses tertinggi pada arsitektur ARM, program dengan hak akses ini dapat mengakses semua sumber daya sistem, termasuk kunci kriptografi yang tersimpan di zona aman.

Karena Boot ROM sudah ditulis pada wafer silikon dan dikunci selama proses manufaktur chip, MediaTek tidak dapat menambal celah ini melalui pembaruan firmware. Ini sangat berbeda dengan kerentanan perangkat lunak. Kerentanan perangkat lunak bisa diperbaiki dengan pembaruan, namun cacat pada level perangkat keras bersifat permanen. Satu-satunya cara menyingkirkan risiko ini adalah mengganti seluruh chip, yang mustahil dilakukan untuk jutaan ponsel yang telah dijual.

Karakteristik yang tidak bisa diperbaiki ini membuat masalah keamanan pada chip Dimensity 7300 sangat serius. MediaTek mengakui adanya kerentanan ini, namun menyebutnya sebagai ancaman “di luar cakupan” model ancaman mereka, sebab Dimensity 7300 memang ditujukan untuk aplikasi multimedia, AI, dan penggunaan sehari-hari, bukan untuk brankas bank. Pembelaan ini mungkin benar secara teknis, namun untuk Solana Seeker yang diposisikan sebagai ponsel pengelola aset kripto, penggunaan prosesor yang “bukan berstandar keamanan bank” jelas merupakan kesalahan desain.

Jendela serangan pada cacat Boot ROM ini sangat singkat. Peneliti harus benar-benar memahami timing start-up chip, dan menyuntikkan pulsa elektromagnetik dalam beberapa mikrodetik tertentu. Serangan ini membutuhkan perangkat dan keahlian teknis tingkat tinggi, seperti osiloskop, generator pulsa elektromagnetik, dan sistem kontrol waktu yang presisi. Bagi pencuri biasa, serangan ini terlalu sulit dan tidak sebanding dengan biaya. Namun, bagi tim kriminal profesional yang menargetkan aset kripto bernilai tinggi, serangan ini sangat mungkin dilakukan.

Penilaian Ancaman Nyata Serangan Injeksi Gangguan Elektromagnetik

Serangan ini memang memerlukan kontak fisik dengan ponsel dan penggunaan alat profesional, berbeda dengan kasus “zero-click” jarak jauh. Di laboratorium, tingkat keberhasilan injeksi elektromagnetik tunggal hanya 0,1% hingga 1%—terlihat rendah, namun dengan alat otomatisasi, ribuan percobaan dapat dilakukan dalam beberapa menit. Jika tingkat keberhasilan 0,5%, maka dari 1000 percobaan, peluang sukses kumulatif mencapai sekitar 99,3%. Ini berarti selama ada cukup waktu dan alat, penyerang hampir pasti berhasil.

Bagi pengguna biasa, risiko terbesar dari ponsel yang dicuri biasanya hanya dijual kembali sebagai perangkat keras. Pencuri biasanya akan melakukan flashing ulang dan cepat menjual kembali, tanpa mencoba membobol data pengguna. Namun, bagi Crypto Whale yang memegang aset kripto dalam jumlah besar, situasinya berbeda. Jika pemilik ponsel Solana Seeker diketahui menyimpan kripto senilai jutaan dolar, tim kriminal profesional mungkin akan secara spesifik mencuri ponsel tersebut untuk kemudian menyerang menggunakan alat EMFI.

Ini berarti jika kunci privat disimpan di ponsel tersebut, pelaku kejahatan berpotensi membobol secara fisik dan mendapatkan hak akses tertinggi pada perangkat. Begitu mendapatkan hak akses EL3, penyerang dapat melewati semua perlindungan di level perangkat lunak, termasuk kunci sandi, sidik jari, dan mekanisme perlindungan dompet kripto. Kunci sandi dan sidik jari tidak lagi jadi pertahanan terakhir, karena semua itu berjalan di level perangkat lunak, sementara hak akses EL3 bisa langsung membaca kunci privat asli yang tersimpan di zona aman.

Lima Ciri Utama Serangan Injeksi Gangguan Elektromagnetik

Perlu kontak fisik: Harus menyentuh langsung motherboard ponsel, tidak bisa dilakukan jarak jauh

Perlu perangkat profesional: Membutuhkan generator pulsa elektromagnetik, osiloskop, dan alat mahal lainnya

Tingkat keberhasilan rendah per percobaan: Hanya 0,1% hingga 1% tiap percobaan

Bisa diotomasi berulang: Perangkat otomatis dapat mencoba ribuan kali dalam beberapa menit

Hanya untuk target bernilai tinggi: Secara ekonomi hanya masuk akal untuk target dengan aset besar

Ledger menyoroti nilai dompet perangkat keras eksternal dalam laporannya, menegaskan hanya elemen keamanan independen yang dapat memisahkan performa dan keamanan. Dompet hardware Ledger sendiri memakai elemen keamanan khusus (Secure Element), chip yang memang didesain untuk melindungi kunci, dan memiliki kemampuan tahan terhadap serangan fisik. Bahkan jika diserang menggunakan injeksi gangguan elektromagnetik atau serangan fisik lain, elemen keamanan bisa mendeteksi anomali dan otomatis menghancurkan atau mengunci diri, mencegah kebocoran kunci privat.

Perbedaan Mendasar antara Chip Konsumen dan Elemen Keamanan

MediaTek Dimensity 7300 adalah prosesor mobile kelas konsumen, yang prioritas utamanya adalah performa, konsumsi daya, dan biaya, bukan keamanan sekelas bank. Ini bukan kesalahan MediaTek, melainkan konsekuensi dari positioning produk. Chip konsumen harus bersaing di pasar harga yang ketat sehingga tidak mungkin menginvestasikan sumber daya besar untuk desain perlindungan fisik seperti chip keamanan khusus.

Sebaliknya, elemen keamanan khusus seperti chip yang digunakan Ledger mengadopsi banyak lapisan perlindungan fisik. Mekanisme ini termasuk: lapisan jaring logam untuk mendeteksi intrusi fisik, pemantauan tegangan dan clock untuk mendeteksi operasi abnormal, sensor suhu mencegah serangan lingkungan ekstrem, serta mekanisme pertahanan aktif yang akan otomatis menghapus data sensitif bila mendeteksi serangan. Dengan desain seperti itu, bahkan penyerang dengan alat mahal dan keahlian tinggi pun akan menghadapi biaya sangat tinggi untuk mencuri kunci privat.

Solana Seeker diposisikan sebagai ponsel kripto, namun keputusan untuk menggunakan prosesor kelas konsumen mengandung kontradiksi mendasar. Nilai jual utama ponsel kripto adalah keamanan, namun fondasi perangkat kerasnya tidak mampu memberikan perlindungan setara dengan dompet hardware profesional. Seeker memang punya fitur Seed Vault secara desain, yaitu mekanisme keamanan di level perangkat lunak untuk melindungi kunci privat. Namun, jika chip di level bawah memiliki celah yang bisa dilewati serangan fisik, perlindungan di level perangkat lunak menjadi rapuh.

Soal apakah fitur Seed Vault di Solana Seeker terdampak oleh kerentanan ini sehingga mempengaruhi keamanan penggunaan ponsel, sampai saat ini belum ada informasi atau tanggapan resmi dari pihak terkait. Sikap diam ini mulai menimbulkan pertanyaan dari komunitas, dan kabar terkait masih perlu konfirmasi lebih lanjut. Solana Foundation dan produsen Seeker perlu menjelaskan secara terbuka bagaimana mereka menilai dampak nyata kerentanan ini terhadap keamanan aset pengguna.

Kasus Pencurian Tahunan US$2,17 Miliar dan Saran Pengelolaan Aset Berlapis

Sejak awal 2025, total dana yang dicuri di platform layanan kripto global telah mencapai US$2,17 miliar, melebihi total sepanjang 2024. Menghadapi tekanan ganda dari pencurian dan kerentanan perangkat keras, pakar keamanan Eric memberikan peringatan: “Jika kunci brankasmu terbuat dari plastik, kamu tidak bisa menyalahkan pencuri yang membukanya dengan korek api.” Perumpamaan ini sangat tepat menggambarkan situasi saat ini: menggunakan chip kelas konsumen untuk melindungi aset kripto besar, sama saja seperti memakai kunci plastik untuk brankas.

Ia menyarankan pengguna memindahkan sebagian besar aset ke dompet dingin offline, dan hanya menyimpan saldo harian di ponsel. Strategi pengelolaan aset berlapis ini adalah prinsip dasar keamanan aset kripto. Seperti dalam keuangan tradisional, orang tidak membawa semua uang tunai di dompet, melainkan menyimpan sebagian besar dana di brankas bank. Dalam dunia kripto, dompet hardware cold wallet adalah brankas, sedangkan dompet panas di ponsel adalah dompet sehari-hari.

Tiga Lapisan Pengelolaan Aset Kripto

Penyimpanan dompet dingin: Simpan lebih dari 90% aset di dompet hardware seperti Ledger, Trezor, benar-benar offline

Dompet panas di ponsel: Hanya simpan 5% hingga 10% untuk transaksi harian dan interaksi DeFi

Akun exchange: Tidak lebih dari 5% untuk trading aktif, aktifkan pengaturan keamanan tertinggi

Bagi investor institusi, meninjau ulang posisi perangkat mobile dalam proses mitigasi risiko dan mengadopsi multi-signature serta isolasi perangkat keras sudah menjadi konsensus pasar. Institusi biasanya mengelola kripto bernilai puluhan atau ratusan juta dolar, dan sama sekali tidak boleh bergantung pada satu dompet ponsel. Multi-signature mengharuskan beberapa perangkat independen untuk bersama-sama menandatangani transaksi, sehingga meskipun satu perangkat berhasil ditembus, aset tetap aman. Isolasi perangkat keras berarti pengelolaan kunci privat dan operasi harian benar-benar dipisahkan, kunci privat disimpan di perangkat offline khusus yang tidak pernah terhubung ke jaringan.

Penelitian Ledger menyoroti kenyataan pahit: di dunia kripto, keamanan selalu menjadi prioritas tertinggi, dan kenyamanan harus mengalah pada keamanan. Solana Seeker mencoba memberikan pengalaman pengelolaan aset kripto yang praktis di ponsel, visi yang sangat indah, namun jika di level perangkat keras terdapat cacat keamanan mendasar, kemudahan ini bisa jadi benih bencana.