Pada Consensus 2026, Cardano's Charles Hoskinson mengatakan bahwa "pengguna seharusnya tidak pernah memiliki kunci pribadi mereka," seraya menambahkan bahwa "sesuatu harus memiliki kunci pribadi untuk pengguna."
Ia berpendapat bahwa chip aman yang sudah terpasang di iPhone, ponsel Android, dan perangkat Samsung lebih unggul dibandingkan yang ada di perangkat Ledger dan Trezor, dan sebagian besar pengguna kripto sudah membawa perangkat keras tanda tangan yang lebih baik di saku mereka tanpa menyadarinya.
Pengelolaan kunci pribadi telah menjadi hambatan bagi adopsi ritel sejak hari-hari awal Bitcoin. Pengguna kesulitan dengan frasa seed 12 atau 24 kata mereka, biasanya lupa, memotret frasa tersebut, menyimpannya dalam catatan cloud, atau bahkan kehilangannya sepenuhnya.
Dompet perangkat keras telah menyelesaikan masalah ekstraksi, karena Ledger atau Trezor menghasilkan dan menyimpan kunci yang tidak pernah meninggalkan perangkat dalam bentuk teks terbuka, sekaligus memperkenalkan gesekan yang secara konsisten ditolak oleh pengguna arus utama.
FIDO melaporkan pada 7 Mei bahwa saat ini terdapat 5 miliar passkey aktif secara global, dengan 75% konsumen telah mengaktifkan setidaknya satu passkey. Pengguna sudah menerima kredensial yang terikat perangkat dan dibuka dengan biometrik sebagai bagian normal dari autentikasi.
Dompet pintar Coinbase mengoperasionalkan hal ini dengan memungkinkan pengguna bergabung tanpa frasa pemulihan, menggunakan passkey Apple atau Google, serta membuat kredensial yang tidak dapat diekspor dan terikat pada perangkat keras yang aman. Face ID atau PIN menjadi satu-satunya antarmuka yang dibutuhkan pengguna.
Hoskinson benar bahwa ponsel arus utama sudah dilengkapi perangkat keras keamanan yang canggih. Secure Enclave Apple adalah subsistem khusus yang terisolasi dari prosesor utama, dan perusahaan mengatakan itu melindungi data sensitif bahkan jika penyerang berhasil meretas kernel aplikasi-prosesor.
Sistem Keystore Android mendukung kunci yang didukung perangkat keras yang bisa tetap tidak dapat diekspor dan terikat pada Lingkungan Eksekusi Tepercaya atau elemen aman, dengan implementasi StrongBox menambahkan CPU khusus dan persyaratan isolasi lebih lanjut.
Sistem Knox Samsung menyediakan perlindungan kunci yang didukung perangkat keras melalui TrustZone, dengan DualDAR menambahkan lapisan enkripsi tambahan untuk data profil kerja yang dikelola.
Hoskinson menggambarkan profil kerja Knox sebagai "sistem operasi terpisah, sirkuit terpisah dalam perangkat keras."
| Model | Di mana kunci berada | Bisakah kunci diekstraksi? | Bisakah malware tetap menipu tanda tangan? | Cara memverifikasi detail transaksi | Kasus penggunaan terbaik |
|---|---|---|---|---|---|
| Dompet frasa seed | Dibuat dari frasa pemulihan 12 atau 24 kata, sering disimpan dalam perangkat lunak atau ditulis oleh pengguna | Ya, mungkin — rahasia bisa terungkap melalui penyimpanan yang buruk, tangkapan layar, cadangan cloud, phishing, atau peretasan perangkat | Ya — jika aplikasi dompet atau perangkat diretas, penyerang bisa menipu pengguna atau mencuri rahasia secara langsung | Biasanya melalui antarmuka aplikasi dompet di perangkat yang sama | Pendaftaran bebas gesekan, saldo kecil, pengguna nyaman dengan pencadangan manual |
| Dompet berbasis perangkat keras di ponsel | Di dalam perangkat keras aman ponsel, seperti Apple Secure Enclave, Android Keystore/TEE/StrongBox, atau perlindungan berbasis Knox Samsung | Umumnya tidak — kunci bisa tetap tidak dapat diekspor dan terikat pada perangkat keras | Ya — kunci mungkin tetap terlindungi, tetapi aplikasi atau OS yang diretas masih bisa mencoba membuat perangkat menandatangani sesuatu yang jahat | Melalui UI ponsel, biometrik, PIN, dan permintaan dompet; keamanan sangat bergantung pada UX persetujuan dan verifikasi niat | Pembayaran sehari-hari, penyimpanan mandiri rutin, pengguna arus utama, pendaftaran tanpa frasa/kunci sandi |
| Dompet perangkat keras khusus | Di dalam perangkat tanda tangan terpisah seperti Ledger atau Trezor | Umumnya tidak — kunci dirancang agar tetap berada di perangkat dan tidak keluar dalam bentuk teks terbuka | Jauh lebih sulit, tetapi bukan mustahil — kunci lebih terisolasi, meskipun penyerang masih bisa mencoba menipu pengguna agar menyetujui transaksi jahat | Pada layar tepercaya atau layar aman milik dompet itu sendiri, secara fisik terpisah dari ponsel atau komputer | Saldo lebih besar, penyimpanan jangka panjang, pengguna yang menginginkan isolasi lebih kuat dan model ancaman yang lebih bersih |
Dompet khusus memiliki keunggulan
Perangkat keras aman berbasis ponsel dan perangkat tanda tangan khusus beroperasi berdasarkan model ancaman yang berbeda.
Ledger's elemen aman menggerakkan layar aman di perangkat itu sendiri, sehingga pengguna bisa memverifikasi detail transaksi bahkan ketika ponsel atau laptop yang terhubung sedang diserang.
Layar tepercaya Trezor menampilkan transaksi yang sedang ditandatangani, terlepas dari apa yang ditampilkan mesin induk. Model Trezor yang lebih baru—Safe 3, Safe 5, dan Safe 7—juga menyertakan elemen aman, sehingga kritik bahwa dompet perangkat keras kekurangan silikon aman kini sudah usang.
Kekurangan yang diidentifikasi Hoskinson adalah aksesibilitas, karena Ledger dan Trezor memerlukan perangkat terpisah, aplikasi pendamping, dan alur tanda tangan yang mengganggu transaksi.
Untuk volume transaksi sehari-hari dan penyimpanan mandiri rutin, ponsel adalah tanda tangan utama yang masuk akal. Untuk saldo lebih besar atau pengguna yang menginginkan model ancaman terkuat yang tersedia, perangkat khusus dengan layar terisolasi menjaga layar tanda tangan secara fisik terpisah dari mesin yang diretas, memastikan bahwa malware mesin induk tidak bisa mencapai layar tersebut.
Arsitektur yang layak adalah delegasi terbatas, yang terdiri dari agen yang diotorisasi untuk belanja dalam batas yang telah ditentukan, selama periode tertentu, tanpa akses ke kredensial yang mengendalikan dompet yang lebih luas.
Dokumentasi Spend Permissions Base sudah membingkai pembelian oleh agen AI sebagai kasus penggunaan inti untuk otorisasi berulang dengan cakupan terbatas. Integrasi AgentCore Payments Coinbase dan alat pembayaran agen stablecoin AWS menerapkan model yang sama untuk agen yang bertransaksi di bawah kendali anggaran dengan log audit lengkap, tanpa akses langsung ke kunci pribadi.
Ethereum's EIP-4337 telah memungkinkan lebih dari 26 juta dompet pintar dan 170 juta UserOperations, dan Pectra's EIP-7702 memperluas perilaku dompet yang dapat diprogram ke akun yang dimiliki secara eksternal, memungkinkan batching, sponsor gas, logika pemulihan, dan kontrol khusus.
Infrastruktur untuk dompet berbasis izin dan kompatibel dengan agen sudah ada dalam skala yang signifikan.
Bagan batang menunjukkan 5 miliar passkey aktif, 170 juta UserOperations, dan 26 juta dompet pintar, dengan 75% konsumen mengaktifkan setidaknya satu passkey.
Kunci Anda, tetapi Anda tidak pernah melihatnya
"Bukan kunci Anda, bukan koin Anda" selalu merupakan posisi filosofis sebanyak posisi teknis, dan itu mengasumsikan bahwa pengguna harus menangani rahasia kriptografi secara langsung.
Namun, posisi ini mungkin tidak bertahan jika berhadapan dengan distribusi massal. Versi penyimpanan mandiri yang lebih tahan lama tampak seperti autentikasi berbasis biometrik dan menghasilkan kunci yang tidak dapat diekspor di perangkat keras aman, tanpa melihat materi kunci mentah.
Yang dikendalikan pengguna adalah batas belanja, kunci sesi, tunjangan yang didelegasikan, logika pemulihan, dan alur persetujuan yang mudah dibaca manusia.
Apple's mekanisme niat aman memungkinkan perangkat keras secara fisik memverifikasi niat pengguna dengan cara yang bahkan perangkat lunak root atau kernel pun tidak bisa memalsukannya. Android Keystore mendukung persyaratan autentikasi per operasi.
Kemampuan tersebut memindahkan penyimpanan dari "bisakah Anda menjaga rahasia" menjadi "bisakah Anda memverifikasi apa yang ingin Anda otorisasi."
Keterbatasan paling tajam dalam framing Hoskinson adalah bahwa aplikasi atau sistem operasi yang diretas mungkin tidak bisa mengekstraksi kunci yang didukung perangkat keras namun tetap bisa menggunakannya di perangkat tersebut.
Tidak dapat diekstraksinya kunci dan keamanan transaksi adalah jaminan yang terpisah, dan sejarah terbaru menunjukkan betapa tragisnya perbedaan itu bisa berlangsung.
CertiK's analisis insiden Bybit menemukan bahwa penyerang menipu para penandatangan untuk mengotorisasi transaksi jahat. Serangan tersebut berhasil meski kunci pribadi tidak pernah meninggalkan perangkat keras.
Chainalysis melaporkan bahwa penipuan identitas meningkat lebih dari 1.400% pada tahun 2025, dan penipuan yang didukung AI menghasilkan imbalan 4,5 kali lipat dibandingkan yang tradisional.
Model penyimpanan mandiri asli ponsel akan menyembunyikan kunci pribadi dari pengguna sekaligus menjadikan niat transaksi, UX persetujuan, dan batas belanja sebagai permukaan keamanan utama.
Dua lintasan
Jika dompet menyelesaikan UX niat dengan cukup baik untuk mendapatkan kepercayaan konsumen melalui batas belanja standar, delegasi yang dapat dicabut, dan petunjuk persetujuan yang jelas, penyimpanan mandiri berbasis ponsel bisa mencapai 70% hingga 85% pengguna ritel baru pada tahun 2028.
Pendaftaran tanpa frasa menjadi default, abstraksi akun berpindah dari fitur lanjutan ke harapan dasar, dan frasa seed menjadi opsi konfigurasi bagi pengguna yang menginginkannya.
Jika insiden tanda tangan mobile, phishing, alur persetujuan yang diretas, atau mekanisme pemulihan yang membingungkan terus menghasilkan kerugian besar, penyimpanan mandiri berbasis ponsel akan terhenti di 20% hingga 35% dari pasar ritel pasar.
Pengguna yang kehilangan dana akibat serangan manipulasi dompet ponsel menggambarkannya sebagai peretasan dan kembali ke pertukaran.
Bagan skenario memproyeksikan penyimpanan mandiri berbasis ponsel mencapai 70% hingga 85% pengguna ritel baru pada tahun 2028 dalam kasus bullish, dan 20% hingga 35% dalam kasus bearish.
Subteks yang tidak nyaman dalam kedua lintasan tersebut adalah ketergantungan pada platform. Jika penyimpanan mandiri berpindah ke perangkat keras yang tertanam di ponsel, maka Apple, Google, Samsung, dan penyedia SDK dompet utama akan menjadi pusat yang sangat kuat dalam arsitektur keamanan kripto.
Model tersebut tetap non-kustodian dalam arti teknis, tetapi keamanan dompet lebih bergantung pada API OS, kebijakan akses enclave, dan aturan distribusi aplikasi.
Postingan Cardano's Charles Hoskinson mengatakan masa depan dompet kripto akan ada di dalam iPhone dan Android pertama kali muncul di CryptoSlate.