Para peneliti Ledger Donjon mengungkapkan adanya celah keamanan pada kartu dompet perangkat keras Tangem yang memungkinkan penyerang mengatur ulang kata sandi kartu melalui serangan laser fault injection. Serangan ini menargetkan firmware Tangem yang berjalan pada secure element EAL6+ dan melewati pemeriksaan firmware yang memverifikasi apakah kartu berada dalam kondisi recovery yang diotorisasi, sehingga instruksi SetPin dapat menerima kata sandi baru tanpa memerlukan kata sandi yang ada atau kartu cadangan. Celah ini diungkapkan kepada Tangem pada bulan Februari dan memengaruhi semua kartu Tangem yang saat ini beredar karena kartu-kartu tersebut tidak memiliki mekanisme pembaruan firmware dan tidak dapat ditambal melalui pembaruan perangkat lunak. Eksploitasi ini memerlukan kepemilikan fisik kartu, peralatan laser fault-injection khusus yang biayanya sekitar $250.000, alat analisis side-channel, serta keahlian keamanan perangkat keras, sehingga vektor serangannya bersifat fisik, bukan serangan jarak jauh. Temuan ini menyoroti tantangan berkelanjutan dalam keamanan dompet perangkat keras, di mana sertifikasi secure element tidak menghapus semua risiko firmware, terutama untuk perangkat tanpa kemampuan pembaruan.
Para peneliti menyiapkan kartu dengan mengekspos secure element dan menghubungkannya ke perangkat keras buatan khusus, lalu menggunakan pulsa laser berdurasi nanodetik untuk menarget area spesifik pada chip. Laser fault injection menyebabkan firmware melewati atau mengabaikan validasi recovery-state yang seharusnya melindungi perubahan kata sandi. Setelah itu terjadi, penyerang dapat menetapkan kata sandi baru pada kartu tanpa mengetahui kata sandi asli.
Setelah kata sandi direset, penyerang dapat menggunakan kartu untuk menandatangani transaksi, yang berarti dana yang terkait dengan dompet bisa dipindahkan jika penyerang berhasil mengkompromikan kartu. Ledger Donjon mereplikasi serangan pada kartu Tangem kedua dan ketiga setelah demonstrasi awal, dengan tiap replikasi membutuhkan sekitar 2 jam waktu persiapan dan eksploitasi.
Serangan ini invasif dan memerlukan peralatan laboratorium, sehingga membatasi relevansinya untuk penggunaan harian biasa. Serangan ini tidak dapat dilakukan melalui phishing, malware, ponsel yang dikompromikan, atau serangan jaringan jarak jauh. Penyerang harus memiliki kartu secara fisik dan cukup waktu untuk melakukan pekerjaan level chip.
Ledger Donjon menekankan hal itu dalam keterangannya, dengan menyatakan: "Artinya bagi pengguna: tidak ada patch, tetapi serangannya fisik dan invasif sehingga tidak bisa dilakukan secara terselubung dan mengembalikan kartu dalam kondisi utuh. Satu-satunya risiko nyata adalah kartu yang hilang atau dicuri; jika kartu Anda tetap berada dalam penguasaan Anda, serangan yang dijelaskan di sini tidak dapat dilakukan."
Para peneliti mencatat bahwa setup lab Ledger Donjon menelan biaya sekitar $250.000. Bagi pengguna dan penyedia layanan kustodian, paparan kunci adalah kartu dompet yang hilang, dicuri, atau dibiarkan tanpa pengawasan, bukan kompromi jarak jauh. Respons pengguna yang paling langsung bersifat operasional: jaga kartu agar aman secara fisik, anggap kartu yang hilang sebagai telah dikompromikan, dan pindahkan dana jika kartu berpindah dari kendali pemiliknya.
Tangem membantah signifikansi praktis temuan tersebut. Perusahaan menyatakan bahwa serangan ini memerlukan peralatan laboratorium yang mahal, kepemilikan fisik kartu, dan keahlian khusus, sehingga risikonya bagi pengguna sehari-hari "nyaris tidak ada."
Tangem juga menyoroti afiliasi korporat Ledger Donjon, dengan mengatakan: "Perlu juga dicatat bahwa meskipun Ledger Donjon memposisikan dirinya sebagai unit riset independen, ia beroperasi di dalam Ledger, salah satu kompetitor terbesar kami. Temuan mereka harus dibaca dengan mempertimbangkan itu. Dengan cukup waktu, pendanaan, dan akses, firmware pada secure element mana pun pada akhirnya dapat direkayasa balik dan dieksploitasi."
Respons tersebut tidak secara langsung menghapus masalah teknis, tetapi membingkai kerentanan sebagai serangan fisik berprobabilitas rendah ketimbang keadaan darurat keamanan tingkat konsumen. Bagi Tangem, tantangan utamanya adalah kartu tidak bisa ditambal, sehingga perusahaan harus mengandalkan komunikasi risiko, perubahan produk di masa depan, dan panduan pengguna, bukan perbaikan firmware.
Keterbukaan Tangem menyoroti masalah yang lebih luas bagi pembuat hardware wallet: serangan fisik mungkin jarang, tetapi tetap penting karena hardware wallet dirancang untuk melindungi aset bernilai tinggi di bawah kondisi yang bermusuhan. Vendor wallet harus menyeimbangkan kegunaan, kemampuan pulih, desain secure element, dan validasi firmware.
Ledger Donjon mengatakan temuan ini menunjukkan bahwa sertifikasi secure element tidak menghilangkan semua risiko firmware, dengan menekankan bahwa sertifikasi EAL6+ saja tidak mencegah serangan fault injection jika firmware memuat logika yang dapat dieksploitasi. Para peneliti merekomendasikan agar firmware secure element menggunakan beberapa pemeriksaan independen untuk operasi sensitif, memperkuat metode validasi keadaan, dan menjaga perubahan kata sandi tetap terlindungi ketika fitur recovery dinonaktifkan.
Ledger Donjon mengatakan sebelumnya telah menemukan bypass pada pemeriksaan asli di aplikasi Android Tangem dan serangan brute-force terhadap protokol autentikasi kartu. Bagi investor, bursa, kustodian, dan pemegang jangka panjang, hardware wallet mengurangi banyak risiko online, tetapi tidak menghilangkan risiko penguasaan fisik. Perangkat yang tidak dapat diperbarui mungkin memerlukan kebijakan penanganan yang lebih ketat, terutama saat perangkat itu mengamankan saldo materiil atau dana institusional.
Kerentanan apa yang ditemukan Ledger Donjon pada kartu hardware wallet Tangem?
Peneliti Ledger Donjon mengungkapkan celah keamanan yang memungkinkan penyerang mengatur ulang kata sandi kartu Tangem melalui serangan laser fault injection yang menarget secure element EAL6+. Serangan ini melewati pemeriksaan firmware yang memverifikasi apakah kartu berada dalam kondisi recovery yang diotorisasi, sehingga perubahan kata sandi dapat dilakukan tanpa memerlukan kata sandi yang ada atau kartu cadangan. Kerentanan ini memengaruhi semua kartu Tangem yang saat ini beredar dan tidak dapat ditambal karena kartu tidak memiliki mekanisme pembaruan firmware.
Berapa biaya peralatan untuk melakukan serangan ini pada kartu Tangem?
Serangan ini memerlukan peralatan laser fault-injection khusus, alat analisis side-channel, dan keahlian keamanan perangkat keras. Ledger Donjon mengatakan setup lab-nya menelan biaya sekitar $250.000. Serangan ini juga memerlukan kepemilikan fisik kartu Tangem dan sekitar 2 jam waktu persiapan serta eksploitasi per kartu.
Bagaimana respons Tangem terhadap pengungkapan kerentanan?
Tangem membantah signifikansi praktis temuan tersebut, menyatakan bahwa serangan ini memerlukan peralatan laboratorium yang mahal, kepemilikan fisik kartu, dan keahlian khusus, sehingga risikonya bagi pengguna sehari-hari "nyaris tidak ada." Perusahaan juga mencatat bahwa Ledger Donjon beroperasi di dalam Ledger, salah satu kompetitor terbesar Tangem, dan menyatakan bahwa dengan cukup waktu, pendanaan, dan akses, firmware pada secure element mana pun pada akhirnya dapat direkayasa balik dan dieksploitasi.
Berita Terkait
Peretas Memanfaatkan Blockchain TON untuk Menghindari Deteksi Malware dengan Perangkat Lunak Resmi
Yayasan Ethereum Gunakan Agen AI untuk Menemukan Kerentanan Jaringan
Trader kehilangan 1 juta dolar AS dalam serangan phishing Permit2 Uniswap