Minggu lalu seorang peneliti keamanan mengungkapkan sebuah kasus yang mencengangkan: dalam versi pembaruan dompet pada 24 Desember, kode backdoor disisipkan, menyebabkan data privasi pengguna (termasuk mnemonic) bocor, dengan kerugian pengguna lebih dari 2 juta dolar AS.

Peristiwa ini terlihat cukup baru pada pandangan pertama, tetapi jika dipikirkan lebih dalam, sebenarnya mencerminkan masalah lama dari produk dompet generasi sebelumnya—yaitu pengguna sama sekali tidak memiliki kendali atas batas keamanan mereka.

**Risiko sebenarnya dari dompet plugin**

Banyak orang membahas kejadian seperti ini dengan kebiasaan menyalahkan pengguna: "Apakah mereka mengimpor mnemonic? Apakah mereka melakukan kesalahan saat operasi?" Tapi dari sudut pandang desain produk, masalahnya bukan di situ. Risiko utama tersembunyi pada mekanisme pembaruan otomatis itu sendiri.

Dompet plugin memiliki kenyataan yang tidak bisa dihindari:

Setiap pembaruan otomatis secara esensial adalah pemberian otorisasi penuh terhadap seluruh aset Anda.

Selama kode dalam paket pembaruan disusupi—mungkin karena masalah internal, atau yang lebih umum adalah serangan terhadap rantai pasokan (proses CI/CD, lingkungan build, saluran distribusi yang diretas)—logika berbahaya akan dieksekusi saat pengguna tidak menyadarinya. Dan pengguna sama sekali tidak menyadarinya.

Lebih menyakitkan lagi: risiko ini tidak hanya mengancam skenario hot wallet. Bahkan jika Anda hanya menggunakan plugin untuk menghubungkan hardware wallet, risiko yang sama berlaku. Karena yang dikendalikan oleh plugin adalah:

- Isi transaksi yang Anda lihat
- Alamat penerima yang Anda konfirmasi
- Semua informasi sebelum dan sesudah tanda tangan Anda

Hardware wallet bisa menjamin "kunci pribadi tidak pernah keluar dari chip," tetapi tidak bisa menjamin bahwa transaksi yang Anda tanda tangani adalah transaksi yang Anda pikirkan. Jika plugin berniat jahat, mereka bisa membuat Anda menandatangani sesuatu, tetapi yang dieksekusi di chain adalah yang lain.

**Mengapa ini menjadi masalah sistemik**

Akar masalahnya terletak pada: hak pembaruan yang terpusat. Setelah pengguna menginstal plugin, mereka menyerahkan seluruh nasib keamanan kepada tim pengembang. Tim mungkin terpercaya, tetapi infrastruktur mereka, proses rilis, komputer karyawan—satu saja dari bagian ini diretas, bisa menyebabkan kerugian aset dalam jumlah besar.

Dan sisi pengguna sepenuhnya pasif—Anda sama sekali tidak bisa melihat apa yang diupdate, apalagi menolak versi pembaruan tertentu.

Inilah sebabnya seluruh komunitas Web3 mulai meninjau ulang desain arsitektur dompet. Beberapa proyek sedang mengeksplorasi mekanisme pembaruan berbasis pemisahan kunci, yang dapat diverifikasi pengguna, bahkan arsitektur yang mengutamakan lokal—tujuannya agar pengguna memiliki kendali nyata atas keamanan aset mereka, bukan sekadar percaya buta.