Ledger Donjon mengungkap kerentanan MediaTek yang dapat mengekstrak frase seed dompet Android dalam waktu kurang dari 45 detik, mempengaruhi jutaan perangkat. CVE-2025-20435.
Ledger Donjon telah menemukan kerentanan serius pada MediaTek. Kerentanan ini memungkinkan penyerang menarik frase seed dompet dari ponsel Android dalam hitungan detik. Bahkan ponsel tidak perlu dalam keadaan menyala.
Charles Guillemet, yang memposting sebagai @P3b7_ di X, mempublikasikan temuan ini secara terbuka. Dia mengonfirmasi bahwa @DonjonLedger sekali lagi menemukan celah dengan dampak serius. Menurut Guillemet di X, data pengguna, termasuk PIN dan frase seed, dapat diekstraksi dalam waktu kurang dari satu menit, bahkan dari perangkat yang dimatikan.
Skala masalah ini sangat besar. Jutaan ponsel Android menggunakan prosesor MediaTek. Trusted Execution Environment dari Trustonic juga terpengaruh.
Ponsel Anda Mati Sekarang Tidak Lagi Berarti
Seperti yang diposting Guillemet di X, tim Ledger Donjon menghubungkan Nothing CMF Phone 1 ke laptop. Dalam waktu 45 detik, keamanan dasar ponsel hilang. Tidak perlu pengaturan rumit. Tidak perlu perangkat keras khusus. Hanya koneksi laptop dan pengatur waktu.
Wajib dibaca: Ancaman keamanan crypto semakin meningkat menjelang 2026
Eksploitasi ini bahkan tidak menyentuh Android secara langsung. Seperti yang diposting Guillemet di X, serangan secara otomatis memulihkan PIN, mendekripsi penyimpanan perangkat, dan menarik frase seed dari dompet perangkat lunak paling populer. Semuanya dilakukan sebelum sistem operasi memuat.
Ini bukan celah kecil. Ini adalah kegagalan struktural.
Masalah Arsitektur Chip yang Tidak Pernah Ingin Diakui
Chip serba guna sering mengorbankan keamanan demi kecepatan dan kemudahan. Guillemet menegaskan hal ini secara langsung di thread X-nya. Sebuah Secure Element khusus menjaga rahasia tetap terisolasi dari bagian lain perangkat. Chip MediaTek tidak dibangun seperti itu. TEE dari Trustonic berada di dalam chip yang sama yang menangani tugas sehari-hari. Akses fisik ke perangkat meluluhlantakkan batasan tersebut.
Ini bukan pertama kalinya peneliti mempertanyakan keamanan ponsel pintar untuk pengguna crypto. Masalahnya selalu kembali ke celah arsitektur yang sama. Chip kenyamanan versus chip keamanan. Mereka bukan hal yang sama.
Pengungkapan Bertanggung Jawab, Lalu Perbaikannya
Ledger Donjon tidak merilis ini secara publik tanpa peringatan. Seperti yang dikonfirmasi Guillemet di X, tim mengikuti proses pengungkapan bertanggung jawab yang ketat dengan semua vendor terkait. MediaTek mengonfirmasi bahwa mereka memberikan perbaikan kepada OEM pada 5 Januari 2026. Kerentanan ini sekarang terdaftar secara publik sebagai CVE-2025-20435.
Wajib dibaca: Ledger menargetkan pencatatan di New York karena lonjakan peretasan dompet crypto
OEM menerima perbaikan tersebut. Apakah pembaruan ini sampai ke pengguna akhir adalah pertanyaan lain. Fragmentasi Android memang menjadi masalah nyata. Perangkat lama dari produsen kecil sering tidak mendapatkan patch selama berbulan-bulan.
Mengapa Dompet Perangkat Lunak Mengalami Kerugian
Frase seed yang disimpan di dompet perangkat lunak berada di dalam perangkat. Mereka sangat bergantung pada keamanan chip di bawahnya. Ketika chip itu gagal, semua yang di atasnya juga gagal.
Thread Guillemet di X menutup dengan kejelasan tentang motifnya. Penelitian ini bukan dilakukan untuk menimbulkan ketakutan. Tapi agar industri dapat memperbaiki kerentanan sebelum penyerang melakukannya terlebih dahulu. Jendela itu sekarang tertutup, setidaknya untuk celah spesifik ini.
Terkait: Wallet cross-platform semakin sulit dideteksi saat diretas
Dompet perangkat lunak di Android selalu membawa risiko ini. Kerentanan MediaTek hanya memberi angka pada risiko tersebut. Empat puluh lima detik. Itu semua yang dibutuhkan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Sebuah CEX dirampas namun tidak berkompromi: berdampak pada sekitar 2000 akun, dana pelanggan tidak terancam
Sebuah bursa perdagangan kripto diserang oleh kelompok kriminal yang memeras, dengan mengklaim bahwa mereka akan mempublikasikan video akses ke sistem internal. Bursa tersebut mengonfirmasi bahwa tidak terjadi kompromi sistematis, dana pelanggan aman, namun sekitar 2000 data akun diakses akibat perilaku yang tidak pantas dari petugas layanan pelanggan; akses terkait telah dihentikan dan kontrol keamanan diperkuat. Perusahaan sedang bekerja sama dengan aparat penegak hukum untuk menyelidiki kasus ini.
GateNews3jam yang lalu
Solana rekan pendiri toly: seharusnya membangun stablecoin lapisan dasar yang hanya dapat membekukan dengan izin pengadilan.
Pendiri Solana toly menyoroti bahwa industri membutuhkan stablecoin yang hanya dapat dibekukan berdasarkan perintah pengadilan, menentang faktor pembekuan lainnya. Ia menyarankan agar protokol menerbitkan stablecoin dengan strategi pembekuan yang dapat disesuaikan pada lapisan dasar, serta memperkuat langkah-langkah keamanan. Pandangan ini berasal dari respons terbaru Circle terhadap insiden peretasan pada protokol Drift, yang memicu diskusi tentang stablecoin terpusat.
GateNews3jam yang lalu
Penyerang Mencetak 1B DOT, Membuang untuk $237K ETH
Sebuah insiden keamanan yang melibatkan versi ERC-20 dari Polkadot di Ethereum menimbulkan kekhawatiran, dengan menekankan risiko aset yang dibungkus dan lintas-rantai. Seorang penyerang mengeksploitasi celah untuk mencetak dan melepas 1 miliar token DOT, menyebabkan kejatuhan pasar dan menyoroti kerentanan dalam pengelolaan kontrak pintar.
Coinfomania6jam yang lalu
Bintang Musik G. Love Kehilangan 5,9 Bitcoin dalam Penipuan Toko Aplikasi yang Mengejutkan
_Musisi G. Love kehilangan 5,9 BTC dalam penipuan aplikasi Ledger palsu, sehingga memunculkan kekhawatiran serius tentang keamanan kripto dan kesadaran pengguna di seluruh dunia._
Sebuah penipuan kripto besar telah menimpa Garrett Dutton, yang dikenal luas sebagai G. Love. Penyanyi asal Amerika itu kehilangan 5,9 Bitcoin senilai hampir 420.000. Kerugian tersebut terjadi ketika dia t
LiveBTCNews6jam yang lalu
Aave Terjebak dalam Krisis Kepercayaan: Penyedia Layanan Secara Kolektif Keluar, “Teknologi, Tata Kelola, dan Manajemen Risiko” Gagal Total
Penulis: Jae, PANews
Dibandingkan tekanan eksternal dari pasar beruang, Aave justru lebih dulu menghadapi sebuah “black swan”.
Aave, yang selama ini lama berkuasa di singgasana protokol pinjam-meminjam, sedang mengalami guncangan ekosistem paling parah sejak didirikan. Tidak ada serangan peretas, tidak ada celah kode; yang ada hanyalah kekuasaan yang lepas kendali dan pertikaian kepentingan.
Mulai dari kepergian tegas BGD Labs, pilar teknis, hingga perpecahan terbuka dengan ACI (Aave Chan Initiative) yang menjadi pelopor tata kelola, lalu dari pengumuman resmi pemutusan hubungan dengan Chaos Labs sang penjaga manajemen risiko—sebuah “pengunduran diri besar” dari para penyedia layanan sedang terjadi.
Kedalaman pertarungan ini jauh melampaui sengketa kerja sama; ia memicu
区块客7jam yang lalu
Polkadot Mengalami Eksploit Jembatan, Penyerang Mencetak 1B $DOT di Ethereum
Polkadot menghadapi pelanggaran keamanan besar di mana seorang penyerang mencetak 1B $DOT koin di Ethereum melalui jembatan pihak ketiga, menguras lebih dari $240,000 dalam $ETH. Insiden ini menyoroti kerentanan yang terus berlanjut dalam infrastruktur lintas-rantai dan dampaknya terhadap stabilitas pasar.
BlockChainReporter7jam yang lalu
