Tim keamanan Donjon milik Ledger baru saja membeberkan serangan perangkat keras yang bisa mereset password pada kartu dompet kripto Tangem - membuka jalan bagi penyerang untuk menandatangani transaksi dan memindahkan dana yang tertaut ke kartu itu. Semua dilakukan tanpa perlu tahu password aslinya sama sekali.
Namun sebelum panik, ada tiga syarat berat yang membuat ancaman ini jauh dari jangkauan pencuri biasa.
Satu Denyut Laser di Titik yang Tepat
Menurut laporan teknis Ledger Donjon, para peneliti menembakkan pulsa laser berdurasi nanodetik ke area spesifik pada secure element kartu. Pulsa itu mengacaukan sebuah pemeriksaan di dalam firmware Tangem tepat saat perintah reset password dijalankan. Dalam kondisi normal, kartu Tangem menuntut password lama sebelum menerima yang baru; proses pemulihan hanya bisa mereset password bila pengguna punya kartu cadangan lain yang tertaut ke dompet yang sama.
Serangan ini melompati pemeriksaan yang memastikan apakah kartu benar-benar berada dalam status pemulihan yang sah - sehingga password baru bisa dipasang tanpa password lama maupun kartu cadangan. Tim mengulanginya pada tiga kartu berbeda; setelah riset awal, tiap percobaan dilaporkan butuh sekitar dua jam untuk disiapkan dan dituntaskan.
Tak Ada Tambalan, Tapi Butuh Lab Rp4 Miliar
Kabar paling mengganggu: kartu Tangem tidak mendukung pembaruan firmware, artinya perusahaan tak bisa mendistribusikan patch ke perangkat yang sudah di tangan pelanggan. Celah ini melekat pada kartu yang beredar sekarang.
📌 Baca JugaMenyamar Polisi, Bikin Situs Palsu, Curi Kripto Rp86 Miliar - Gaya Hidup Mewah Ini yang Justru Membongkar Mereka
Meski begitu, mempraktikkannya sama sekali tidak mudah. Penyerang harus memiliki kartunya secara fisik, menguasai keahlian khusus, dan menggunakan peralatan laboratorium senilai sekitar 250.000 dolar AS (kurang lebih Rp4 miliar). Peneliti bahkan harus membelah kartu, mengelupas pelindung untuk menyingkap chip, lalu menyambungnya ke perangkat khusus - proses invasif yang merusak kartu secara permanen, sehingga mustahil dilakukan diam-diam lalu dikembalikan seolah tak tersentuh. Serangan ini juga tidak bekerja dari jauh: tidak lewat aplikasi, koneksi internet, maupun NFC. Tangem menyebut risiko bagi pengguna sehari-hari “nyaris tidak ada”, dan mengingatkan bahwa Donjon beroperasi di bawah Ledger, salah satu pesaing utamanya.
Pelajaran di Balik Sertifikat Keamanan
Ledger menegaskan temuan ini menunjukkan bahwa secure element bersertifikat EAL6+ sekalipun tak kebal terhadap setiap serangan - keamanan pada akhirnya juga bergantung pada firmware yang berjalan di dalamnya. Bagi pemegang Tangem, pesannya sederhana: risiko terbesar muncul justru ketika kartu hilang atau dicuri. Memperlakukan kartu yang raib sebagai insiden keamanan dan segera memindahkan dana ke dompet baru adalah langkah paling masuk akal.
Dilansir dari crypto.news.
Disclaimer: Artikel ini bersifat informatif dan edukatif, bukan nasihat keuangan. Aset kripto sangat fluktuatif dan berisiko tinggi. Selalu lakukan riset mandiri (DYOR) dan jangan berinvestasi melebihi kemampuanmu menanggung kerugian.




