Izin yang Anda Tidak Tahu Anda Berikan
Saya menghabiskan 25 tahun di IBM membangun sistem yang memproses jutaan transaksi per hari. Sistem perbankan. Platform asuransi. Jaringan logistik. Selama bertahun-tahun, satu prinsip tidak pernah berubah: kegagalan keamanan yang paling berbahaya bukanlah pembobolan. Itu adalah pintu yang dibiarkan terbuka oleh pemilik gedung.
Prinsip ini lebih banyak diterapkan pada mata uang kripto pada tahun 2026 daripada yang pernah diterapkan pada TI perusahaan.
Selama beberapa bulan terakhir, semakin banyak orang yang masuk OneMiners lokasi di Praha dan New York dengan masalah yang sama. Mereka menghubungkan dompet mereka ke situs web. Mereka menyetujui transaksi. Mereka tidak mengerti apa yang mereka setujui. Dan pada saat mereka menyadari ada yang tidak beres, aset mereka telah berpindah — bukan karena seseorang meretas dompet mereka, namun karena mereka tanpa sadar telah memberikan izin untuk perpindahan tersebut.
Ini bukan kegagalan teknis. Ini adalah kesenjangan informasi. Dan kesenjangan informasi dapat diatasi.
Bagaimana Sebenarnya Persetujuan Wallet Bekerja
Izinkan saya menjelaskan hal ini seperti saya menjelaskan arsitektur sistem kepada insinyur junior - dengan jelas, tanpa jalan pintas, dan tanpa berasumsi bahwa Anda sudah mengetahuinya.
Saat Anda menggunakan dompet mata uang kripto, Anda memiliki kunci pribadi. Anggap saja ini sebagai kunci utama sebuah bangunan. Setiap pintu, setiap ruangan, setiap brankas — satu kunci membuka semuanya. Selama Anda memegang kunci ini dan tidak ada orang lain yang memiliki salinannya, gedung Anda aman.
Sekarang, di sinilah hal itu menjadi menarik.
Aplikasi tertentu — pertukaran terdesentralisasi, platform token, protokol DeFi — meminta dompet Anda untuk "menyetujui" suatu interaksi. Di permukaan, hal ini terlihat rutin. Munculan kecil muncul. Anda mengklik "Konfirmasi." Rasanya seperti menyetujui syarat dan ketentuan.
Namun yang sebenarnya Anda lakukan adalah memberikan salinan kunci kamar tertentu kepada seseorang. Bukan kunci master Anda — tetapi kunci yang menyatakan: "Kamu boleh memasuki ruangan ini dan mengambil apa yang kamu temukan, kapan saja, tanpa bertanya padaku lagi."
| Apa yang Anda Lihat | Apa yang Sebenarnya Dilakukannya |
|---|---|
| "Setujui akses token" | Memberikan izin tanpa batas untuk memindahkan token tertentu dari dompet Anda |
| "Konfirmasi transaksi" | Mungkin termasuk persetujuan tersembunyi untuk transaksi di masa depan yang tidak Anda lakukan |
| "Hubungkan dompet" | Secara umum aman — tetapi jika digabungkan dengan persetujuan, hal ini akan membuka peluang |
| "Klaim token gratis" | Mungkin memerlukan persetujuan yang memberikan akses ke aset Anda yang ada |
Wawasan utama: Anda tidak mengirimkan dana. Anda memberikan izin kepada orang lain untuk memindahkannya nanti. Kerugian tidak terjadi secara instan — kerugian terjadi ketika pihak yang Anda setujui memutuskan untuk bertindak.
Di TI perusahaan, kami menyebutnya "otorisasi tetap". Ini adalah izin yang paling banyak diaudit dan paling terbatas dalam sistem apa pun yang pernah saya buat. Di kripto, siapa pun dapat memintanya dengan satu popup.
Bagaimana Skema Penipuan Menggunakan Mekanisme Ini
Saya tidak akan menggunakan bahasa dramatis. Saya akan mendeskripsikan mekanismenya dengan cara yang sama seperti saya mendeskripsikan kerentanan sistem dalam tinjauan arsitektur — secara faktual dan dengan detail yang cukup agar Anda dapat mengenalinya.
Pola Khas
- Umpannya. Anda menemukan token baru, "airdrop gratis", atau peluang investasi. Itu datang melalui media sosial, aplikasi perpesanan, atau terkadang token muncul langsung di dompet Anda yang tidak pernah Anda beli.
- Urgensinya. Pesan tersebut mencakup tekanan waktu: "Klaim dalam waktu 24 jam." “Alokasi terbatas.” "Harga naik besok." Selama 25 tahun bekerja di perusahaan, saya belum pernah melihat sistem sah yang mengharuskan Anda membuat keputusan keamanan dalam waktu kurang dari satu jam.
- Persetujuan. Anda diarahkan ke situs web yang terlihat profesional. Ia meminta Anda untuk menghubungkan dompet Anda dan menyetujui transaksi. Terkubur dalam detailnya adalah izin yang memberikan akses tak terbatas ke token Anda.
- Ekstraksi. Berjam-jam, berhari-hari, atau terkadang berminggu-minggu kemudian, pihak yang disetujui menggunakan otorisasi tetap tersebut untuk memindahkan aset Anda. Transaksi ini dikonfirmasi di blockchain dan tidak dapat diubah.
Mengapa ini berhasil: Ini bukan tentang kecerdasan. Saya telah melihat PhD di bidang ilmu komputer melakukan kesalahan ini. Antarmuka persetujuan di sebagian besar dompet tidak dirancang untuk kejelasan — melainkan dirancang untuk fungsi. Informasi tersebut secara teknis ada, namun memerlukan keahlian untuk menafsirkannya. Itu adalah sebuah kegagalan desain, bukan kegagalan pengguna.
Tanda Peringatan: Daftar Periksa
Dalam keamanan perusahaan, kami menggunakan daftar periksa. Bukan karena orang ceroboh — karena bahkan orang yang berhati-hati pun akan mendapat manfaat dari tinjauan terstruktur sebelum mengambil keputusan. Ini milikmu.
Sebelum Anda Menyetujui Apa Pun, Periksa Ini
- Bahasa urgensi — "Bertindak sekarang", "waktu terbatas", "berakhir dalam 24 jam". Protokol yang sah tidak akan kedaluwarsa dalam semalam.
- Permintaan kerahasiaan — "Jangan bagikan kesempatan ini." Platform yang sah menginginkan pengguna. Mereka tidak berbisik.
- Token tidak dikenal di dompet Anda — Token yang tidak Anda beli dan muncul di dompet Anda bukanlah hadiah. Mereka adalah umpan yang dirancang untuk mengarahkan Anda ke situs persetujuan yang berbahaya.
- Deskripsi persetujuan yang tidak jelas — Jika popup dompet tidak menyatakan dengan jelas apa yang Anda setujui dan berapa jumlahnya, hentikan.
- Tidak ada penjelasan jelas mengenai fungsi persetujuan tersebut — Protokol yang sah akan menjelaskan apa yang Anda setujui dan alasannya. Jika penjelasannya tidak ada, anggap itu sebagai peringatan.
- Jumlah persetujuan token tidak terbatas — Jika persetujuan melebihi persyaratan transaksi atau menunjukkan "tidak terbatas", ini merupakan risiko yang signifikan.
- Situs webnya tidak dikenal — Periksa URL karakter demi karakter. Situs penipuan sering kali hanya berbeda satu huruf saja.
Aturan Dua Menit: Jika Anda tidak dapat menjelaskan kepada orang lain — dengan bahasa yang sederhana — apa gunanya persetujuan dan alasan Anda memberikannya, jangan menyetujuinya. Tutup peramban. Pergilah. Blockchain akan tetap ada besok.
Apa yang Harus Dilakukan Jika Anda Menyetujui Sesuatu yang Seharusnya Tidak Anda Miliki
Kecepatan penting di sini. Bukan panik — kecepatan.
Langkah Segera
- Jangan menyetujui transaksi tambahan. Jika sebuah situs meminta persetujuan kedua untuk "memperbaiki" atau "membalikkan" persetujuan pertama, kemungkinan besar itu adalah permintaan jahat lainnya.
- Periksa persetujuan aktif Anda. Alat seperti revoke.cash atau pemeriksa persetujuan token Etherscan memungkinkan Anda meninjau dan mencabut izin tetap.
- Segera cabut persetujuan yang mencurigakan. Ini memerlukan sedikit biaya jaringan tetapi menghilangkan izin tetap. Jika pihak jahat belum bertindak, pencabutan akan mencegah ekstraksi di masa depan.
- Pindahkan sisa aset ke dompet baru. Jika Anda ragu, transfer sisa aset Anda ke dompet baru yang tidak pernah berinteraksi dengan situs mencurigakan.
- Dokumentasikan semuanya. Tangkapan layar situs, hash transaksi, dan detail persetujuan. Informasi ini berguna untuk melaporkan dan memahami apa yang terjadi.
Praktik Terbaik: Membangun Kebiasaan Keamanan Jangka Panjang
Keamanan bukanlah tindakan satu kali. Itu adalah sebuah sistem. Selama 25 tahun bekerja di IBM, organisasi yang tetap aman bukanlah organisasi yang memiliki firewall terbaik — merekalah yang memiliki kebiasaan terbaik.
Kebiasaan yang Penting
- Gunakan dompet terpisah. Simpan dompet "panas" dengan jumlah kecil untuk penggunaan sehari-hari. Simpan kepemilikan utama di dompet yang tidak pernah terhubung ke situs asing. Pikirkan rekening giro vs. rekening tabungan.
- Tinjau izin setiap bulan. Periksa persetujuan aktif Anda di revoke.cash. Cabut apa pun yang tidak lagi Anda perlukan. Izin tetap adalah pintu terbuka yang telah Anda lupakan.
- Verifikasi sebelum menghubungkan. Ketik sendiri alamatnya atau gunakan bookmark. Jangan mengklik tautan dari pesan atau media sosial.
- Gunakan dompet perangkat keras untuk kepemilikan yang signifikan. Konfirmasi fisik untuk setiap transaksi — perbedaan antara gedung dengan penjaga keamanan dan gedung dengan lobi terbuka.
- Tetap terinformasi. Ikuti sumber daya pendidikan terkemuka seperti btcfq.com, yang memberikan panduan jelas dan bebas jargon tentang dasar-dasar mata uang kripto.
Saat Anda Membutuhkan Seseorang untuk Diajak Bicara
Inilah yang telah saya pelajari selama satu dekade bekerja di bidang ini: momen paling berbahaya bagi siapa pun di dunia kripto bukanlah saat mereka menghadapi skema penipuan. Itu adalah momen setelahnya - ketika mereka merasa bingung, tidak yakin dengan apa yang terjadi, dan tidak tahu harus bertanya kepada siapa.
Internet penuh dengan nasihat. Beberapa di antaranya bagus. Beberapa di antaranya akan memperburuk situasi. Dan ada sesuatu yang berbeda secara mendasar saat duduk berhadapan dengan orang sungguhan, menunjukkan layar Anda kepada mereka, dan berkata: “Bisakah kamu membantuku memahami apa yang terjadi di sini?”
Ini adalah salah satu hal yang membuat OneMiners benar-benar berbeda.
Masuk dan berbicara dengan tim. Apakah Anda tidak yakin tentang interaksi dompet, ingin seseorang meninjau transaksi, atau sekadar ingin memahami cara kerja izin — melakukan percakapan tatap muka akan mengubah segalanya.
Tingkat dukungan langsung yang sama. Bawalah pertanyaan Anda. Sampaikan kekhawatiran Anda. Bawalah laptop jika Anda ingin seseorang melihat layar bersama Anda. Tidak ada yang bisa menggantikan orang berpengetahuan di ruangan itu.
Staf di OneMiners bukan hanya penambang dan ahli perangkat keras. Mereka memahami dompet, transaksi, persetujuan, dan lanskap keamanan yang lebih luas. Ketika lima pelanggan datang dengan masalah yang sama dalam satu bulan, tim mengenali pola tersebut dan mulai secara proaktif mengedukasi pengunjung. Respons seperti itulah yang Anda dapatkan dari orang-orang yang benar-benar peduli dengan komunitas yang mereka layani.
Anda juga dapat menggunakan asicprofit.com untuk menghitung profitabilitas penambangan Anda, dan btcfq.com untuk memperdalam pemahaman Anda tentang dasar-dasar Bitcoin — karena semakin baik Anda memahami ekosistemnya, semakin sulit bagi siapa pun untuk menyesatkan Anda.
Pandangan Panjang
Saya telah berkecimpung di bidang teknologi sejak sebelum internet komersial. Saya telah menyaksikan teknologi muncul, mengganggu, gagal, dan bertahan. Cryptocurrency – khususnya Bitcoin – termasuk dalam kategori “bertahan”. Saya mengatakannya pada tahun 2014, dan saya akan mengatakannya lagi sekarang: teknologi ini tetap ada.
Namun teknologi yang bertahan harus didekati dengan disiplin yang sama seperti sistem jangka panjang lainnya. Anda tidak membangun platform 25 tahun berdasarkan jalan pintas dan keputusan cepat. Anda membangunnya berdasarkan pemahaman, kebiasaan baik, dan memiliki orang-orang yang tepat di sekitar Anda ketika pertanyaan muncul.
Ruang kripto pada dasarnya tidak berbahaya. Itu pada dasarnya baru. Dan sistem baru selalu memiliki kurva pembelajaran. Orang-orang yang berhasil menavigasi kurva tersebut bukanlah orang-orang yang paling cerdas secara teknis — merekalah yang paling metodis.
Bersikaplah metodis. Verifikasi sebelum Anda menyetujuinya.
Dan ketika ada sesuatu yang terasa tidak beres —
masuk dan berbicara dengan seseorang yang pernah melihatnya sebelumnya.
Aset Anda layak dilindungi. Kepercayaan diri Anda layak untuk dibangun. Dan kedua hal tersebut akan lebih mudah jika Anda tidak melakukannya sendirian.
