Investor aset kripto sering beralih ke dompet perangkat keras (hardware wallets) sebagai cara yang aman untuk menyimpan aset digital mereka, dengan asumsi bahwa dompet tersebut tidak dapat ditembus.
Namun, bahkan dompet perangkat keras tercanggih di pasaran mungkin dapat menjadi tidak aman, dan masih ada risiko keamanan seperti penggunaan perangkat palsu atau terinfeksi.
Kaspersky membagikan detail di balik insiden pencurian aset kripto yang melibatkan dompet perangkat keras, dan mengakibatkan hilangnya 1,33 BTC atau setara US$29.585.
Dompet perangkat keras, juga dikenal sebagai cold wallet, menyimpan kunci aset kripto pada perangkat seukuran stik USB, yang harus dicolokkan ke komputer untuk mengirim kripto atau berinteraksi dengan protokol keuangan terdesentralisasi.
Akibatnya, perangkat ini secara umum dianggap lebih aman daripada yang terhubung ke internet setiap saat.
Namun, penyelidikan baru-baru ini oleh Kaspersky mengungkapkan kasus pencurian aset yang jarang terjadi dari dompet perangkat keras, di mana penjahat dunia maya membuat taktik canggih untuk memaksimalkan keuntungan mereka.
Korban tidak melakukan transaksi apa pun pada hari itu, dan cold wallet tidak terhubung ke komputer. Dengan demikian, korban tidak segera mengetahui pencurian tersebut, dan penipu mentransfer sebesar 1,33 BTC (setara $29.585) tanpa sepengetahuan korban.
Meskipun salinan yang Kaspersky pelajari tampak identik dengan aslinya, perangkat tersebut menunjukkan tanda-tanda gangguan saat membukanya.
Alih-alih menyatu bersama secara ultrasonik seperti dompet perangkat keras asli, setiap bagian dari perangkat diisi dengan lem dan disatukan dengan selotip dua sisi.
Selain itu, dompet memiliki mikrokontroler yang berbeda dengan mekanisme perlindungan baca dan memori flash dinonaktifkan sepenuhnya, jika dibandingkan dengan yang asli.
Hal ini membuat para peneliti menyimpulkan bahwa korban telah membeli dompet perangkat keras yang telah terinfeksi.
Penyerang hanya membuat tiga perubahan pada firmware asli bootloader dan dompet itu sendiri.
Mereka menghapus kontrol mekanisme perlindungan, mengganti seed frase yang dibuat secara acak dengan salah satu dari 20 frase yang telah ditetapkan, dan hanya menggunakan karakter pertama dari kata sandi tambahan.