Belakangan ini banyak orang membahas masalah keamanan dompet perangkat keras di komunitas, baru sadar bahwa kasus pencurian dompet dingin lebih umum dari yang saya kira. Banyak pemula mengeluarkan biaya besar untuk membeli dompet perangkat keras, mengira mereka bisa tenang, tapi malah menjadi target penipuan.

Ngomong-ngomong, cukup ironis, logika desain dompet perangkat keras sendiri tidak ada masalah—penyimpanan kunci pribadi secara offline, chip keamanan yang melindungi, semua adalah solusi perlindungan yang diakui industri. Tapi masalahnya terletak pada rantai pasokan. Penipu sama sekali tidak perlu repot-repot merusak lapisan perangkat keras, malah dari saluran pembelian.

Salah satu kasus yang saya lihat baru-baru ini sangat meninggalkan kesan. Ada yang membeli dompet perangkat keras dari platform e-commerce pihak ketiga, setelah membuka kemasan mengikuti petunjuk di buku panduan untuk mengaktifkan dengan "PIN awal", membackup "kata pengingat", lalu mentransfer dana dalam jumlah besar. Tapi tidak lama kemudian dompet itu dibobol. Segalanya tampak normal, tapi sebenarnya buku panduannya palsu, alamat dompet sudah dikendalikan oleh pencuri. Metode pencurian dompet dingin ini intinya memanfaatkan ketidaktahuan pemula tentang proses penggunaan, menggunakan buku panduan palsu untuk melakukan pengemasan ulang, lalu dijual melalui saluran non-resmi.

Risiko serupa juga sangat umum di wilayah berbahasa Mandarin. Perusahaan terkenal seperti imkey pernah secara terbuka mengingatkan bahwa mereka menemukan toko-toko tidak resmi menjual dompet perangkat keras yang sudah diaktifkan, sekaligus memalsukan buku panduan, untuk mengarahkan pengguna menyimpan uang ke dalamnya. Ini menunjukkan pentingnya mengenali saluran resmi, sama pentingnya dengan mengenali situs resmi.

Ada juga kasus yang lebih gila. Seorang pengguna Ledger tiba-tiba menerima paket yang tidak pernah dia pesan, berisi Ledger X baru dan sebuah surat. Suratnya mengatakan perusahaan diserang, data bocor, dan mereka mengirim perangkat baru sebagai ganti. Tapi CEO Ledger kemudian dengan tegas menyatakan bahwa perusahaan sama sekali tidak akan melakukan kompensasi semacam itu. Setelah membuka perangkat, terlihat bekas modifikasi yang jelas di dalam kotak plastik. Ini adalah tipikal penipuan modifikasi perangkat keras.

Tim keamanan Kaspersky juga pernah melaporkan kejadian serupa, ada yang membeli Trezor Model T palsu dari saluran non-resmi, firmware di dalamnya sudah diganti, sehingga penyerang bisa langsung mengakses aset kripto pengguna. Dompet perangkat keras yang tampaknya normal sebenarnya sudah menjadi alat penipuan.

Jadi, risiko pencurian dompet dingin sebenarnya sebagian besar bukan berasal dari pelanggaran teknis, melainkan dari celah operasi manusia. Bagaimana cara menghindarinya? Sebenarnya sangat sederhana:

Pertama, hanya beli dari saluran resmi. Dompet perangkat keras yang dibeli dari saluran tidak resmi tidak bisa dijamin keamanannya.

Kedua, pastikan perangkat dalam kondisi belum diaktifkan. Perangkat yang dijual resmi pasti baru dan belum diaktifkan. Jika setelah dinyalakan ditemukan sudah diaktifkan, ada "PIN awal" atau "alamat default" di buku panduan, segera nonaktifkan dan beri masukan ke pihak resmi.

Ketiga, semua operasi harus dilakukan sendiri. Pengaturan PIN, pembuatan kode pengikat, pembuatan alamat, backup kata pengingat, semua harus dilakukan sendiri. Segala langkah yang melibatkan pihak ketiga sama saja menyerahkan kunci pribadi.

Proses yang benar seharusnya seperti ini: dompet perangkat keras yang dibeli adalah baru dan belum diaktifkan, saat pertama kali digunakan, mulai dari menyalakan perangkat, membuat dompet, membackup kata pengingat, hingga mengatur PIN, semuanya dilakukan sendiri. Jika mengikuti proses ini, risiko pencurian dompet dingin bisa sangat berkurang.

Pada akhirnya, keunggulan keamanan dompet perangkat keras memang nyata, tapi asalkan kamu menggunakan cara yang benar. Dalam lingkungan pasar yang penuh penipuan ini, lebih berhati-hati berarti lebih terlindungi.