Topic: Hardware Wallet - page 6. (Read 29441 times)

Maaf, dari yang saya baca pada tulisan diatas, nampaknya agan hanya menggunakan Electrum; Rada kurang pas kalau postingnya di thread Hardware Wallet, mungkin berikutnya bisa ke thread yang lebih relevan.

Namun sebagai saran untuk pencegahan kejadian berulang, jangan gunakan kembali address tersebut termasuk address lain yang masih dalam satu wallet dengan seed yang sama.
Buat wallet baru namun jangan digunakan di PC tersebut dulu. Kalau memungkinkan coba install ulang OS nya dan pastikan download aplikasi wallet semisal Electrum benar-benar dari official web nya https://electrum.org/#download

Penggunaan Electrum versi lawas juga sudah tidak disarankan, terlebih, dulu sempat pernah pula ada kasus phishing (https://github.com/spesmilo/electrum/issues/4968) yang rentan terkena pada pengguna Electrum 3.3.4 dan versi yang lebih lama darinya.

Hacker juga tidak perlu susah payah nge-crack ledger wallet, karena recovery seed ini pakai pihak ketiga, jadi mereka cukup ke provider yang menghandle recover online ini yaitu: CoinCover. Kalau semisal berhasil, si hacker tidak hanya dapat 1 seed tapi juga ratusan bahkan ribuan data seed dari user ledger. Sekali mendayung dua tiga pulau terlampaui.

Syukurlah kalau untuk penyimpanan yang nominal kecil, Saya juga dulunya make ledger ini untuk transaksi sehari-hari, artinya memang tidak dipakai untuk penyimpanan yang utama. Dan, bug-bug yang saya takutkan itu semisal data seed yang auto terkirim ke provider tanpa ada konfirmasi dari kita.

Ledger Nano X saya lebih ke untuk keperluan mobile, sementara untuk penyimpanan yang lebih prioritas di Trezor T.
Penentangan itu saya lihat lebih ke ide 'kontroversial'nya Ledger Recovery. Sementara dari sisi bug firmware Nano X v2.2.1 bisa ada bisa juga tidak, entah apakah akan ada 'hal-hal aneh' beberapa waktu kedepan ketika saya sudah update firmware ke versi tersebut atau normal seperti pada update yang sudah-sudah.

---

---

Tadi saya coba di Firefox tidak bisa connect, sementara di Chrome saya belum mencobanya.

---

btw, berikut ini ada diskusi menarik antara Andreas Antonopoulos dengan Jameson Lopp yang membahas perihal isu layanan Ledger Recover ini:
https://odysee.com/@aantonop:8/ledger-recover-what-the-hell-is:8

Ane pribadi kehilangan kepercayaan atas Ledger setelah mereka bilang kalau firmware update bisa mengupload seed kita secara online (meskipun sifatnya opt-in). Khususnya kalau kita melihat beberapa pesan mereka di beberapa tahun ke belakang mengenai keamanan secure element/firmware seperti yang didiskusikan di sini[1]. Ane bakal tetap memakai perangkat yang ane punya (sebisa mungkin menghindari update firmware), tapi ga bakal menjadikannya sebagai cold wallet lagi. CMIIW.

Btw, apakah agan" di sini masih bisa menghubungkan Ledger mereka ke browser Chrome dengan wallet seperti MetaMask? Beberapa hari terakhir ane berusaha mengubungkan Ledger ke browser ane tapi selalu gagal/force closed. Sayangnya tidak ada opsi lain untuk kebutuhan yang ane miliki saat ini (kecuali downgrade browser mungkin).

[1] https://twitter.com/Ledger/status/1592551225970548736

Dan yang lebih membangongkan lagi, Tweet poin kedua (1/2) sengaja dihapus karena mereka menganggap semua orang bigung dan tidak mengerti sepenuhnya dengan apa yang terjadi dan terkesan memberikan pendapat atau jawaban yang paling mudah di pahami. Padahal ini adalah sebab akibat dari ketidak konsistenan Ledger dengan tweetnya tahun lalu.

---

Fitur itu hanya Optional dan bagi yang mau subcribe saja. Tapi Mungkin 90% pengguna Ledger gak bakal ngikut fitur baru ini.

Seperti yang dikatakan Theymos secara singkat, "ini bukan sebuah fitur tambahan, melainkan pembaruan yang memberikan resiko tambahan."
Semua keputusan ada pada pengguna,"Bukan Kunci Anda, Bukan koin Anda"

---

Itu yang di khawatirkan semua pengguna. Ketika Firmware sudah di update ditakutkan ada semacam Vurnerability atau celah yang bisa di manfaatkan oleh hacker untuk melakukan peretasan. Kita juga tidak tahu bagaimana hacker akan melakukannya, tapi saya rasa hacker juga mempelajari tentang Ledger recover ini.

Pengguna seperti Om Husna saya percaya dia orangnya akan sangat hati-hati melakukan transaksi apapun.
Tapi bagi orang-orang yang cuman asal makek aja, dan punya asset banyak di Ledger mereka, kemungkinan akan menjadi sasaran peretasan.

Yups terlihat ada sebuah persaingan bisnis di sini. Tapi benar atau tidak hal ini sangat mempengaruhi salah satu brand yang cukup terkenal. Dan itu poto seed sering saya lihat wara wiri di jagad twitter, mungkin hanya pemanis, kemungkinan penekanan dia itu kalau update ledger kali ini banyak membuat kecewa pengguna, termasuk dia yang mentransfer semua btc miliknya. (ke trezor, bukan?, kalau iya artinya ada apa-apanya)

Centang biru sekarang murah kok mas, cuma 1,250,000/ tahun, jadi jika pengaruhnya gede dan bisa membawa profit lebih dari pada itu, ya tak seberapa. Apa lagi jika mampu membuat pesaing jadi down dan ditinggalkan pengguna tentu manfaatnya akan jadi lebih gede lagi.



Mudah-mudahan ledger yang mas update bukan untuk simpanan utama, karena menurut saya cukup beresiko, apa lagi kontroversi ledger ini banyak ditentang oleh OG-OG yang cukup lama bermain di crypto khususnya di non-custody. Takutnya ada bug atau semacam vulnerability yang belum terungkap.

Iseng saya cek seed yang dia foto: invalid mnemonic :) , terlepas benar tidaknya transfer tersebut; Tapi kalau lihat akunnya sudah centang biru (Trezor salah satu follower nya) nampaknya informasinya benar, beresiko kalau menyebar statement yang tidak valid. Lagi pula itu hak dia mau transfer asetnya ke wallet manapun.

---

Penasaran, barusan saya coba update Firmware Ledger Nano X ke versi 2.2.1 yang nantinya men-support Ledger Recover (yang menjadi highlight-nya dan sekaligus membuat "ramai" kritikan).
Untuk update firmware diproses melalui Ledger Live desktop, sementara Ledger Recover kalau dilihat di keterangan note-nya tersedia di Ledger Live mobile (android-iOS) yang saat ini masih "coming soon".

---

Saya coba quote tulisan Adam Back-CEO blockstream yang menanggapi post ini (https://twitter.com/DU09BTC/status/1658381334224715776?s=20):

Saya tidak begitu melihat perkembangannya apakah fitur recovery ini sebagai optional saja?, kalau semua hal ini dibebaskan kepada user (optional) tentu tidak masalah. Dan memang saya akui update kali ini memang cukup kontroversi, saya lihat ada beberapa pengguna bahkan mentransfer 433 btc dari ledger miliknya ke wallet lain. Entah mengapa sangat heboh kali ini, karena saya anggap hampir sama kayak fitur 2fa di electrum dan coinjoin di Trezor, yang membuat pilihan bagi pengguna, untuk bebas tidak menggunakannya.

Tapi ya terserah, kalau memang merasa ledger kali sudah kebablasan ya move aja, apalagi kalimat di bawah ini memang sangat membagongkan:


https://twitter.com/DU09BTC/status/1659431437995589632

Dan saya juga tidak ada apa-apanya sekarang, sudah tidak nyimpan crypto di ledger karena rusak layar beberapa waktu lalu. Jadi ya tidak bisa berkata apa-apa lagi.

Poinnya saya lihat juga disana, KYC, peran hardware wallet menjadi tidak sepenuhnya non-custodial karena seed phrase di split ke pihak lain. Saya tidak tahu persis seberapa besar prosentase antara yang memang sering kehilangan seed phrase sehingga membutuhkan fitur bantuan seperti itu dengan yang tidak membutuhkannya.

Meskipun itu hanya opsional, bagi sebagian komunitas termasuk saya pribadi tidak urgen membutuhkan fitur itu.

Saya sendiri belum coba pelajari lebih lanjut ketika firmware Nano X di update, cara kerja dari fitur Ledger Recovery tersebut seperti apa. Yang saya ketahui saat ini kalaupun mau mencoba fitur tersebut ya harus subscribe dengan kata lain mendaftarkan seed yang nantinya di split dan di enkripsi, jika tidak men-subscribe tentunya pihak ledger juga tidak ujug-ujug punya seed/private key dari Nano user meskipun sudah update firmware.

Mungkin nanti saya coba update ketika sudah install firmware Nano X yang mensupport fitur Ledger recovery di aplikasi Ledger Live yang "membuat heboh" tersebut.

Mengkustodi seed phrase kita adalah ide buruk. selain memecah fragmen Seed phrase kita. Ledger juga mewajibkan kita untuk KYC.  Buat komunitas crypto hardcore, ini udah kelewatan batas.

Sekarang disuruh KYC. Padahal Core dari crypto itu ada dua. Yaitu Self custody dan Anonymous. Dengan KYC, sudah pasti nggak lagi Anonymous. Apalagi dengan kejadian kalau database customer Ledger pernah dicuri beberapa tahun yang lalu. KYC Hardware wallet adalah sangat ide buruk, mungkin ini bisa di katakan blunder dengan fitur terbaru tersebut.

kalau mengaktifkan fitur ledger recover dan membayar bulanan, sebenarnya user tidak perlu khawatir kehilangan seed phrase-nya lagi. Karena tinggal melakukan verifikasi di tiga company itu dengan dibantu oleh ledger. Itu Solusi yang ditawarkan oleh ledger. Tapi komunitas crypto yang hardcore dan sangat peduli dengan safety dan Anonim udah terbiasa untuk menyimpan sendiri seed phrase-nya dan menolak KYC.

UPDATE
TREZOR SUITE - TREZOR SUITE LITE

Beberapa hari lalu Trezor merilis update aplikasi Trezor suite ke versi v23.5.1 (Pre-release), beberapa updatenya antara lain:


Nampak diatas fitur CoinJoin masih 'mendapat perhatian' dengan adanya beberapa perbaikan. Di versi sebelumnya, saya sudah beberapa kali mencoba fitur tersebut dengan menggunakan Bitcoin Testnet namun masih belum sepenuhnya berhasil.

Note: Trezor menerapkan zkSNACKs terms untuk memproses CoinJoin, jadi harap dibaca ketentuannya seperti apa, kalau misal tidak setuju tidak usah menggunakan fitur tersebut.

Selain Update Trezor suite versi desktop, Trezor juga merilis Aplikasi mobile Trezor Suite Lite.
Namun, sebagaimana namanya "Lite" dan juga termasuk rilis awal, jadi jangan berharap fiturnya sudah melimpah sebagaimana aplikasi mobile sejenis dari sesama pesaing hardware wallet lainnya.

Beberapa fitur yang baru ada pada versi awal ini, yaitu:
- Checking account balances
- Receiving cryptocurrencies
- Managing multiple wallets

Detail penjelasannya bisa dilihat disini: https://trezor.io/learn/a/trezor-suite-lite-features
Untuk fitur transaksi mengirim secara langsung di aplikasi tersebut saat ini masih belum ada.


Berikut ini link aplikasi resminya:
https://apps.apple.com/id/app/trezor-suite-lite/id1631884497 (iOS)
https://play.google.com/store/apps/details?id=io.trezor.suite (Android)

Note: harap berhati-hati, karena di AppStore dan PlayStore saya menemukan aplikasi lain yang namanya mirip.

Berikut ini tampilan aplikasinya yang tadi saya coba install (versi iOS):

Pernyataan dari akun twitter @Ledger_Support pada tanggal 17 Mei 2023 tentang "Ledger Recover" membuat banyak pihak terkejut , khususnya yang menggunakan dompet Ledger walau tweet tersebut telah dihapus.
Saya juga melihat salah satu dompet hardware Trezor menyindir apa yang terjadi pada Ledger.

Terkait dengan firmware, pihak Ledger telah memberikan klarifikasi atas apa yang telah membuat heboh.
Bagi pengguna yang aktif mungkin telah pernah membaca klarifikasi yang diberikan oleh Charles Guillemet sebagai Chief technology officer Ledger.
Informasi seputar klarifikasi ini saya temukan di cointelegraph.

Catatan yang perlu diingat, simpan seed phrase dengan aman yang sesuai menurut agan selaku pemiliknya, jadi jika sewaktu-waktu developer dari hardware wallet tersebut bahkan tutup sekalipun, agan masih bisa merecovery aset ke wallet/hardware wallet lain.

Untuk firmware, saya pribadi menyarankan rutin diupdate jika memang developer masih menyediakannya; Namun usahakan lihat review dari user lain, barangkali masih ada bug pada update firmware yang terbaru, jadi agan bisa tunggu fix update berikutnya.

Sementara untuk fitur yang ada di aplikasi seperti contoh kasus kali ini fitur Ledger Recover agan bisa mengabaikannya dengan tidak menggunakan Ledger Live; Agan masih bisa menggunakan HW Ledger dan mengkombinasikannya dengan wallet semisal Electrum.

---

Jadi Ledgernya mau dijual, dibiarkan begitu saja tanpa dimanfaatkan, atau ekstrimnya dibuang :) ?

Solusi yang mungkin bisa agan pertimbangkan antara lain, buat wallet multi-signature semisal 2 cosigner:

1. Ledger + Electrum
2. Electrum (only)

Jadi, satu wallet dengan pemegang kendali terhadap transaksi keluar ada di dua cosigner tersebut.

---

Contoh lain, ketika Trezor merilis fitur CoinJoin yang ternyata ada zkSNACKs terms yang mesti disetujui user sebelum lanjut proses CoinJoin, banyak yang tidak sepakat akan hal itu. Padahal tinggal diabaikan saja dan jangan lanjut ceklis untuk menggunakan fitur tersebut.

Bagi yang belum memliki HW tersebut bisa jadi pertimbangan tersendiri untuk memilih HW dari developer lain, namun bagi yang sudah punya HW tersebut apakah bijak dengan lantas membuangnya begitu saja hanya karena hal demikian yang sebenarnya masih bisa diabaikan untuk tidak digunakan fiturnya?

Mengenai ledger ini aku agak ragu memakainya lagi. Ini kemaren kuceritakan Di sini, Aku lagi nunggu jawaban yang tepat, beberapa komentar menyuruhku berpikir sendiri.

Jadi begini, aku punya simpanan btc di ledger (tidak banyak sih, tapi kayaknya cukup buat beli motor). Jadi ledger ku ini tidak pernah kubuka sejak 2 tahun lalu, pertama kali ku beli itu di ledger.com, setelah nyampe lalu kukoneksikan ke live aplikasi, tujuannya hanya untuk download aplikasi bitcoin. Setelah terdownload, aplikasi livenya ku uninstall dan ledger kukoneksikan ke electrum. Setelah dapat alamat bitcoin, direcheck beberapa kali dan safe, Lalu ku tutup, jadi hanya alamat bitcoin yang kupegang beserta seed yang kutulis di kertas.

Pertanyaannya, apakah wallet yang tidak pernah kubuka selama 2 tahun itu aman?, apakah kalau tidak pernah update ini akan berdampak juga terhadap recovery yang lagi heboh ini?. Sekarang ini aku condong ke tidak yakin, mungkin satnya pakai software gratisan yang aman kayak electrum saja.

Biasanya tiap electronik baru itu ada segelnya, kayak HP pasti bersegel dan ketahuan kalau sudah pernah dibongkar. Kalau kayak ledger wallet setahuku akan ada kata authentic setelah di koneksikan ke Live. sedangkan Trezor itu di label kotak juga ada hologram, jika rusak maka artinya sudah kebongkar, dan menurutku kesemua hardware wallet ketika baru kebuka itu belum ada firmware, jadi kalau sudah ada terisntall, artinya sudah pernah dibongkar dan tidak asli lagi part-nya.

Ledger update fitur barus Ledger Recover. Agak heboh karena kalau kita opt-in (berbayar $9,9 per bulan) maka fragment seed phrase kita disebar ke beberapa kustodian.
Kita juga bisa bind KTP kita. Kalau saya sarankan sih jangan pakai. Lebih aman simpan sendiri.


https://coinvestasi.com/berita/fitur-pemulihan-ledger-tuai-kontroversi

Yang saya pahami, firmware tersebut hanya sebagai pondasi agar Ledger (saat ini Nano X) bisa digunakan untuk fitur Ledger Recover tersebut; Hal tersebut lebih kurang sama ketika Trezor merilis update firmware untuk persiapan fitur CoinJoin.

Fitur-fitur tersebut bisa digunakan ketika user-nya subscribe (contoh kasus pada Ledger Recover) dan/atau menggunakan software bawaan mereka, sementara jika hardware wallet tersebut digunakan dengan software wallet lain semisal Electrum tentu fitur-fitur tersebut tidak bisa digunakan.



Selama ini pola pemakaian hardware wallet (Trezor T dan Nano X) yang saya gunakan untuk bertransaksi lebih banyak dikombinasikan dengan Electrum* karena lebih simpel; Sementara untuk software bawaannya lebih banyak digunakan untuk bereksperimen terhadap fitur-fiturnya, membandingkan plus minus masing-masing, dll.

Dan pernah juga test lebih ekstra lagi menggunakan multi-signature wallet dengan mengkombinasikan Trezor T & Nano X di Electrum versi macOS dan WindowsOS:
https://bitcointalksearch.org/topic/m.55982009

* Tidak semua hardware wallet di support Electrum.

Kalo terlalu paranoid banget itu sebenarnya juga gak bagus. Yakin gak akan ada yang aman kalo terlalu paranoid.
Bahkan banyak contoh orang yang terlalu paranoid terkena scam dll dan akhirnya kenak tipu juga.

Di Marketplace IJO dan ORANGE sudah banyak seller yang menjual HW asli yang amsih segel, hanya perlu melihat Ulasan dan bintang dari orang lain dan berapa banyak yang terjual, seller itu udah bisa di percaya.

Meskipun status masih "Coming Soon" ini sudah jadi Update Final Ledger Recover.
Dan sebagai pengguna Ledger apakah om @HusnaQA bakal melakukan update atau tidak?
Tapi yang pasti mayoritas pengguna akan menolak fitur ini dan gak akan menggunakannya.

Menurut saya, untuk membeli hardware wallet tidak mesti "selalu" harus beli langsung dari pabriknya; Intinya kalaupun mau membeli dari reseller atau semisal di marketplace lokal, cari pedagang yang memang benar-benar sudah mempunyai reputasi bagus, dan cek keasliannya ketika pesanan hardware wallet tiba.

Beberapa contoh cara mengecek hardware wallet:

- https://coldcard.com/docs/paranoid
- https://support.ledger.com/hc/en-us/articles/4404389367057-Is-my-Ledger-device-genuine-?docs=true
- https://blog.trezor.io/psa-non-genuine-trezor-devices-979b64e359a7

Saya sendiri membeli hardware wallet melalui marketplace di Indonesia; atau kalau misalkan memang "paranoid banget" ya tidak ada salahnya membeli langsung dari produsennya atau minimalnya dari official store yang resmi tercantum di website produsen hardware wallet tersebut.

---

Saya lengkapi dengan link sumbernya:
https://www.ledger.com/recover

Statusnya masih "Coming soon", cukup kontroversial updatenya kali ini.

Saya cek di Ledger Live, ya ada notifikasi update firmware 2.2.1, namun belum saya update dan saat ini masih menggunakan versi 2.1.0

Seseorang membeli Trezor Model T di marketplace. Semua berfungsi normal, hanya ada part yang sudah diganti. Memungkinkan supply chain attack.
Dari kasus ini kita mesti Selalu beli hardware wallet dari pabriknya!

https://twitter.com/WuBlockchain/status/1658387397988720640?t=3G3HThSNOBPnOqKRilZ7OA&s=19

Pembaruan Kontroversial yang memungkinkan pengguna bisa melakukan recover Seed Phrase 24 Kata menggunakan identitas diri.
Meskipun phrase ilang atau lupa masih bisa di recover dengan mudah, apalagi pakek ID ( Kudu KYC juga dong )) wkwkwkwk.



Katanya sih pembaruan ini cuman Optional, tapi meskipun begitu apakah ini tidak berbahaya.
Non Kustodi wallet berubah jadi Kustodi Wallet. Gak punya kontrol penuh.
Pihak Ledger tentu bakal memiliki kontrol, pemerintah mudah untuk membekukan wallet siapapun dengan pembaruan ini.

Pekerjaan hacker makin mudah nih buat ngejebol phrase

Dalam percakapan Twitter Spaces, Ledger Chief Experience Officer Ian C. Rogers berusaha meyakinkan pengguna bahwa data mereka tetap aman.
Dia berkata:
https://twitter.com/Ledger/status/1658458714771169282?s=20

Malah fitur Baru ini yang katanya lebih aman, Pengguna harus membayar $9.99 perbulan ( Fitur membahayakan Asset sendiri ).



Saat ini, Ledger Recover kompatibel dengan Ledger Nano X.
Dalam waktu dekat, ini juga akan kompatibel dengan Ledger Nano S Plus dan Ledger Stax.

Kayaknya nanti bakal ada penurunan pengguna Ledger dan berpindah ke Hardware wallet lainnya.

Bukan kunci Anda, Bukan Koin anda