Topic: Hardware Wallet - page 6. (Read 30338 times)

Kalau memakai fitur ini juga jauh lebih tidak aman dibandingkan mengamankan secara offline. Sebenarnya kan memang ini yang jadi inti dari kontroversi yang ada. Sudah keputusan yang tepat om. Ane juga ga bakal make ledger lagi sekarang, khususnya kalau Electrum dst sudah tidak support Ledger dengan versi firmware yang lawas (yang tidak support recovery ini), saran ane yang masih punya devicenya juga segera pindah ke HW lain saja.

Di websitenya sih kena 10 euro per bulan. Bisa mungkin kena diskon, tapi tetap saja aneh kalau dikenai beban sebesar itu. Bisa dapet HW baru kalau nabung setahun, mending beli HW lain sekalian daripada berjudi dengan Ledger.

Jika dilihat di websitenya https://www.ledger.com/recover biaya subscribe-nya 9,99€ (dengan kurs sekarang setara Rp. 167924,24) per bulan dan bisa kapan saja kalaupun mau unsubscribe.

Saya tidak tahu persis apakah ada statistik perbandingan antara data pengguna Nano X dengan yang menggunakan fitur Ledger Recover ini, lebih besar mana yang membutuhkan atau yang menolaknya.

---

Kalau HW Ledger-nya rusak mungkin bisa bebas mau beralih ke hardware wallet keluaran yang lain, namun bagi yang sebelum ada fitur Ledger Recover ini sudah punya HW Ledger dan masih bisa digunakan tanpa memilih opsi tersebut, menurut saya tidak perlu sampai ekstrim semisal sampai merusak dan membuang HW tersebut.

Hal semisal itu terjadi juga pada Trezor yang beberapa waktu lalu merilis fitur Coinjoin yang ternyata menerapkan zkSNACKs terms, dan ini menuai kontroversi juga.


Yang jelas saat ini, Ledger Recover hanya opsional. Dan saya sudah update Ledger Live dan juga Firmware Ledger Nano X ke versi terbaru tanpa menggunakan opsi tersebut.

Kena bayaran berapa kalau subscribe that cloud dalam setahun?. kalau gitu si gawat, zaman sekarang ini ya kalau pasang leher ke pihak ketiga pun mesti bayar . Semestinya, ledger mesti bertindak cepat untuk memperbaiki system, karena kontroversi mengenai itu sudah banyak membuat banyak pengguna meninggalkan ledger. Untung punya saya sudah rusak, jadi untuk update perkembangan terbaru dari ledger tidak saya ikuti. Kalau iya mungkin akan timbul keraguan dan mungkin full beralih untuk beli Trezor baru.

Yang begini ini yang saya takutkan itu jika update dan subscribe secara otomatis, hal ini tentu akan merugikan pengguna ledger itu sendiri. Mungkin karena itu banyak yang sudah beralih ke HW lain.

Kalo masih Opsional saya yakin pengguna ledger lama gak bakal subscribe fitur tersebut,
Mungkin hanya beberapa orang saja atau mereka yang cuman ingin coba-coba.

Bahkan sampek dikasih free pada bulan pertama.
ini jadi era baru buat Ledger, Hardware wallet Non-Custodial Berubah jadi Custodial.
Tapi apakah ini bakal jadi jaminan Seed Phrase bisa lebih aman, atau bahkan nanti bisa disalahgunakan.

Yang pastinya hacker banyak yang ngincer Fitur Recover ini dan mereka sudah siap dengan metode peretasan yang akan mereka terapkan.

Nyimpen Seed Phrase pakek Washer dan disimpan di berangkas bisa jadi pilihan alternatif yang rekomended,
Tinggal nyiapin bahan-bahannya yang dibutuhkan aja.

Update

Trezor Suite v23.10.1

Dirilis sekitar 2 minggu yang lalu (tidak lama berselang dengan peluncuran hardware wallet Trezor Safe 3); Beberapa fitur baru pada versi kali ini, antara lain:

---

Ledger Nano X firmware v2.2.3

Dirilis pada 19 Oktober 2023 yang lalu. Nampaknya kali ini update firmware pada Ledger Nano X sudah mensupport fitur Ledger Recover yang 'membuat kontroversial', dan untuk Ledger type lainnya masih coming soon (https://www.ledger.com/recover).

Semula saya tidak berniat mengupdate firmware ke versi terbaru, namun karena penasaran akhirnya coba di update juga, toh dengan mengupdate Ledger OS tidak otomatis mengaktifkan atau bahkan subscribe otomatis ke Ledger Recover, dan fitur tersebut juga opsional, sebagaimana tertera pada keterangan seperti nampak pada screenshot berikut:



Saya pribadi tidak berniat subscribe fitur Ledger recover tersebut (meskipun ada free pada bulan pertama) karena masih cukup yakin dengan keamanan backup seed phrase yang saya buat menggunakan washer dan disimpan di brankas.

DWYOR

Mungkin ini juga karena efek kamera atau karena proses editing karena Kontras video yang di naikan,
sehingga flare Balcklight pada layar kelihatan tidak menyebar merata.

Karena kalo memang ada kebocoran balcklight seperti itu maka bisa jadi cacat produksi.
Ini sama seperti layar HP GSM Nokia jadul dengan layar monochrome graphic.

Cek Video Unboxing Officialnya, Layar tampak normal.

---

Saya juga baru tahu tentang banyaknya sensor yang digunakan Safepal S1.
Beberapa sensor yang di sematkan seperti Pulse Sensor, Light Sensor, Temperature Sensor, High and low-frequency detection module, High and Low Voltage Detection Module, dan Metallic Shield.

Semua itu digunakan untuk melindungi Hardware Wallet Safepal S1 dari Peretasan lewat Serangan Fisik maupun serangan frekuensi dan elektromagnetik atau beberapa serangan injeksi yang berusaha untuk menjebol pertahanan yang dimiliki Safepal S1.

Jadi bagi yang mau mencoba menjebol keamanan Safepal S1 kayaknya rada susah.

---

Beda lagi dengan Keamanan Auto-selfdestruct yang dimiliki ELLIPAL Titan Mini, Lebih pada pendeteksi serangan Fisik saja.
Sensor akan mendeteksi beberapa upaya yang dilakukan untuk membuka paksa perangkat.

Tapi soal keamanan fisik, ELLIPAL Titan Mini wajib di acungi Jempol.
Ketahanan fisiknya gak kaleng-kaleng, gak gampang buat dibuka meskipun udah di panasin di suhu tinggi dan dipaksa untuk dibuka.

Cek Video
ELLIPAL Titan Mini anti-disassembly and anti-tamper tests

Saya sudah lihat video unboxing Safepal X1 tersebut. Secara opini pribadi, saya rada kurang nyaman dengan build quality nya antara lain dari body, suara tombol, dan dari layar nya seperti nampak berikut ini, itu pinggirannya entah karena efek kamera saja atau bagaimana, terlihat tidak solid (ada putih-putih dipinggirnya):

---

Terkait tipe hardware wallet Safepal yang lain, yakni Safepal S1, tadi saya coba baca review nya disini: https://skrumble.com/hardware-wallets/safepal-s1-review/; saya baru tahu ada beberapa sensor antara lain Pulse Sensor dan Light Sensor yang tersemat disana; Nampaknya ini mirip dengan fitur Auto-selfdestruct yang dimiliki ELLIPAL Titan Mini.

Build Quality Safepal X1 malah terkesan Downgrade dari seri S1, percuma layar besar tapi tampilan masih monocrhome.
Konektivitas full pakek Nirkabel, padahal pakek kamera Air-Gapped maish lebih aman.

Harga masih lebih mahal, tapi fitur masih terlihat minim, cuman menang upgrade konektivitas dan desain baru.
Iya Mending Ellipal Titan Mini sih dengan harga yang hampir sama tapi punya Build quality lebih baik, konektivitas dijamin aman dan full color.

Video Unboxing Safepal X1

Safepal X1 menggunakan single color pada layarnya; Jika dibandingkan dengan dua hardware wallet Safepal sebelumnya yang mengusung layar full color, secara teori Safepal X1 tidak memerlukan banyak daya sehingga kapasitas baterai pun tidak perlu sebesar tipe terdahulunya. Sedikit referensi perbandingan: https://www.andersdx.com/mono-or-colour-display/.

Kemudian, mengenai harganya, berikut ini perbandingan beberapa hardware wallet dari produsen lain dengan kisaran harga yang tidak jauh berbeda (saat postingan ini dibuat):
Safepal X1 (https://www.safepal.com/en/store/x1):  $69.99
Ellipal Titan Mini (https://www.ellipal.com/products/ellipal-titan-mini): $79.00
Trezor Safe 3 (https://trezor.io/trezor-safe-3): $79.00

Dengan harga yang hampir mirip, terlepas dari sisi keamanan yang ditawarkan masing-masing hardware wallet, menurut saya fitur Ellipal Titan Mini lebih unggul dari yang lainnya, seperti bahan yang fully metal sealed, kapasitas baterai yang cukup besar (600 mAh), full color display, dan koneksinya Air-gapped.

Safepal x1 masih baru di pasaran meskipun saat ini menghadapi banyak persaingan. Satu-satunya perbedaan yang saya lihat di sini adalah baterainya.




Battery Capacity:

Safepal x1: 128mAh

Safepal s1: 400mAh

Safepal S1Pro: 500mAh

Meskipun daya baterai dompet perangkat keras ini sedikit lemah, layanannya akan sangat baik. Karena persaingan terberat di pasar saat ini akan berjalan baik pada saat ini karena mereka telah mempersiapkan produk untuk dipasarkan di pasar. Berdasarkan permintaan konsumen, akan ada permintaan yang besar di pasar dompet perangkat keras.

Dompet perangkat keras ini adalah yang terbaik dengan aspek unik. Pasalnya perangkat ini memiliki segalanya termasuk konektivitas Bluetooth. Karena itu permintaan di pasar akan tinggi.

Sepemahaman saya, hal tersebut lebih ke strategi marketing yang menyasar konsumen dari segmen yang berbeda namun masih tetap bisa menggunakan hardware wallet terutama fitur dasar dari wallet tersebut dengan harga lebih terjangkau tanpa terbebani dengan harga yang mungkin dinilai masih tinggi bagi sebagian kalangan. Jika sekiranya ternyata fitur hardware wallet yang baru tersebut malah ditambah (terlebih bukan fitur utama) tentu biaya produksi bisa lebih tinggi lagi dan berimbas pada harga jual juga.

Jadi bukan masalah di berkembang atau tidaknya fitur.

---

Nano X peruntukkannya jelas beda, tipe tersebut memang menyasar bagi user yang sering menggunakan HW secara mobile tanpa perlu direpotkan dengan sambungan kabel.
Trezor Safe 3 ataupun Trezor tipe sebelumnya (One & Model T) tidak dilengkapi dengan baterai, jadi daya yang digunakannya tergantung pada device yang dikoneksikan dengannya.

Btw, HW Trezor masih bisa dikoneksikan ke smartphone menggunakan kabel USB: https://trezor.io/learn/a/trezor-on-android

---

Dari yang saya baca, Trezor One memang defaultnya menggunakan seed 24 kata, namun pada kelengkapan Trezor T yang saya miliki, bahkan kertas yang disediakan untuk menulis recovery seed phrase itu kolomnya untuk 12 kata, karena default seed yang di generate di Trezor T adalah 12 kata ;



Dengan kata lain Trezor men-support seed dengan 12 kata ataupun 24 kata, detail perihal ini bisa dibaca disini:
https://trezor.io/learn/a/seed-backup-12-vs-24-words

Keunggulan Safe 3 ini apa ya dibanding dengan T?, karena kalau kulihat sepintas agak-agak mundur kebelakang perkembangannya. Mungkin kalau layarnya bisa touch screen kayak model T bisa lah dikatakan berkembang. Atau mungkin bisa menyimpan daya, misal jika tiba-tiba mati lampu dan PC kita tidak menyimpan listrik, apa wallet juga ikutan mati?. Karena ku pernah pakai nano X yang bisa menyimpan daya/batere (100 mAh) sehingga bisa dioperate langsung tanpa tercolok ke PC.

Kulihat di website trezor mereka ngeluarin juga Trezor Keep Metal, tapi anehnya kok cuma 12 kata, Karena sepengetahuanku pernah pake Trezor itu back seednya ada 24, artinya kurang 1/2 dari trezor seed itu sendiri. Apa bisa bikin seed di trezor cuma 12 kata?

Sebagaimana pada informasi sebelumnya, bahwa 12 Oktober 2023 ini, Trezor akan mengumumkan perihal produk terbaru mereka sebagaimana terlihat pada teaser dari produknya yang sudah lebih dulu dipublish. Berikut ini adalah produk baru tersebut:

Trezor Safe 3


https://trezor.io/content/images/product/default/trezor-safe-3-cosmic-black_528052.png

Menurut saya Trezor Safe 3 ini berada ditengah-tengah Trezor One dan Trezor T.
Dari sisi bentuk hampir mirip Trezor One, dengan dua tombol di depan dan spesifikasi layarnya yang ternyata 0.96" Monochromatic OLED screen.
Namun dari sisi dimensi hampir seperti Trezor T dan nampak layar juga jadi lebih luas daripada Trezor One. Dari sisi koneksi menggunakan kabel yang sudah USB type C (prediksi saya perihal penggunakan wireless meleset).

Sepintas tadi saya baca-baca beberapa fitur-nya (dari sisi software) memang hampir serupa dengan produk Trezor yang sudah ada lebih dulu.

Untuk saat ini harga pre-order nya sekitar 79 USD, mirip-mirip dengan Ellipal Titan Mini yang pernah saya infokan sebelumnya (https://bitcointalksearch.org/topic/m.62883129).

Referensi:
https://trezor.io/trezor-safe-3

Trezor tengah menyiapkan sesuatu yang baru beberapa hari kedepan tepatnya pada 12 Oktober 2023:



https://content.trezor.io/new-products

Kira-kira nantinya apa saja fitur unggulan dari produk tersebut?
Berikut ini beberapa prediksi saya jika sekiranya itu adalah produk yang benar-benar baru dan bukan versi upgrade dari model Trezor sebelumnya:

- Dimensi layar lebih luas dari Trezor T.
- Karena Trezor suite versi mobile-nya sudah mulai dikembangkan, saya kira akan lebih cocok jika ada salah satu opsi dari hardware wallet keluaran Trezor yang koneksinya support tanpa kabel.
- Opsi fitur air-gapped? (Yang ini saya masih belum terlalu yakin.*)

---

Untuk roadmap project lainnya dari Trezor bisa dilihat disini: https://github.com/orgs/trezor/projects/28.

---

* Di Trezor T ada slot untuk micro-SD, namun saya sendiri belum pernah menggunakannnya, dan setahu saya fungsinya baru sebatas untuk enkripsi PIN (https://trezor.io/learn/a/encrypt-pin-with-microsd-card) tidak sebagaimana di ColdCard yang bisa digunakan untuk banyak fungsi:

Hal ini pernah kualami ketika tempo hari dapat email dari Ledger (palsu). Secara tidak sadar ku klik link yang notif di email HP. Ku kira itu memang ledger, tapi ternyata ketika ku scroll ke bawah malah minta masukin seed phrase. Padahal ketika itu, antara HP dan Hardware wallet tidak terkoneksikan, tapi malah minta word, 12 pula, ini yang bikin aku yakin kalau itu palsu, karena word yang kusimpan itu 24 dan ada tambahan Passphrase sebagai guard. Disamping itu juga, kalau itu email asli dari pengembang, mereka tidak minta untuk memasukan seed phrase walau itu query. Itu sama kayak akun bank, mereka tidak bakal meminta kode OTP dan PIN jika ada telpon dari mereka.

Karena ternyata partisi data di Safepal nya read and write, anggaplah file upgrade.bin yang asli diganti dengan yang palsu oleh virus, nah ketika fitur Self-destruct nya bekerja karena mendeteksinya sebagai virus apakah ketika di recovery otomatis file yang aslinya balik lagi dan file palsunya tersebut hilang?
Mestinya sih bisa demikian, konsep cara kerjanya mungkin mirip Deep Freeze.

---

Btw. berbicara mengenai Safepal Wallet, kemarin saya menemukan artikel berikut:
https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/

Bagi teman-teman pengguna Safepal mungkin bisa lebih aware lagi aplikasi yang digunakannya dan benar-benar memastikan itu resmi dari developernya.
Ciri-ciri Wallet palsu biasanya meminta menginput seed phrase.

Kayaknya sih bisa terdeteksi, jika hacker membuat file tiruan upgrade.bin
dan ternyata file tersebut dibaca sebagai virus atau backdoor mekanisme self-destruct mungkin akan aktif.


Setelah saya coba cek partisi Safepal S1 ketika ada dalam mode Upgrade, File ternyata bisa "Write and Read".



Coba transfer file .JPG ke partisi WALLET bisa masuk tanpa ada pesan "error" seperti yang di lakukan di coinkite Opendime.


Wah kayaknya ini bisa jadi celah yang krusial kalo hacker benar-bener nyerang dan buat file upgrade yang sama.
Semisal buat link phising download untuk upgrade firmware Safepal dll, sehingga user bakal download dan upgrade dari webiste phising tersebut.

Ya mungkin cara untuk menangkalnya dengan Self-destruct mechanism tersebut.

Jika virus-nya update dengan varian terbaru sementara misalkan firmware di SafePal S1 itu sendiri belum di update apakah akan terdeteksi juga virus tersebut?
Terkadang PC yang sudah dilengkapi anti virus sekalipun masih saja ada yang bisa tersusupi virus/malware.

Saya barusan baca penjelasannya tidak begitu detail mengenai mekanisme dari fitur Self-destruct di SafePal S1 ini:


Perihal partisi data dari SafePal yang bisa dibaca di PC, ini mengingatkan saya pada Coinkite Opendime (https://opendime.com/);



Namun setahu saya partisi tersebut "Read-only" sehingga ketika ada yang mencoba memasukkan file tertentu ke partisi data tersebut seperti dicontohkan di atas, maka akan muncul pesan 'error'.



Sumber gambar: Opendime™ - World's First Bitcoin Bearer Bond–A Bitcoin Stick!

Entah ini benar atau tidak, saya cuman lihat dari sebuah artikel yang menyatakan Jika SafePal S1 mendeteksi virus atau malware, perangkat secara otomatis akan menghancurkan dirinya sendiri.
https://www.finder.com.au/safepal-s1-review

Tapi apakah sebuah hardware wallet seperti Safepal S1 bisa mendeteksi malware atau virus? 
Karena untuk proses upgrade Safepal S1 lewat USB yang terhubung ke komputer dan akan muncul Partisi WALLET untuk tempat file upgrade.bin.


Apa ini bisa jadi tempat masuk malware lewat partisi tersebut?
Saya masih belum menemukan penjelasannya.
 

Kalau mencari hardware wallet di Amazon saya sarankan untuk lebih berhati-hati dan pastikan memang merupakan reseller resmi; Jangan sampai terjadi seperti pada contoh review ini: Amazon Selling Fake Ledger Crypto Hard Wallets (2021).

---

Hardware wallet yang closed source terkadang sering dipermasalahkan bagi sebagian user, namun yang perlu dicatat bahwa open source code juga bisa saja memiliki kerentanan.


Contoh kasus Tool BX (Libbitcoin Bitcoin Explorer) https://bitcointalksearch.org/topic/wallet-yang-dibuat-tool-bx-libbitcoin-bitcoin-explorer-sudah-tidak-aman-5462735

---

Setahu saya Ledger Stax ini diperkenalkan sekitar awal tahun ini (agan taufik123 pernah menginfokannya di sini: https://bitcointalksearch.org/topic/m.61565456), dan distribusi setelah pre-order nya waktu itu di bulan April 2023.

Jadi status tersebut menandakan mereka sedang kehabisan stock Ledger Stax, entah itu hanya strategi marketing saja atau bagaimana sehingga seolah mengesankan kalau HW tersebut 'sangat laku'.