Keamanan, investigasi, pemulihan dana, dan perlindungan aset

Wawancara eksklusif untuk portal iTrusty.io

Alexander Mercer, pemimpin redaksi iTrusty.io × Robert Stanley, kepala divisi keamanan siber

Kata Pengantar Redaksi

Pada tahun 2025, industri kripto menghadapi gelombang pencurian yang belum pernah terjadi sebelumnya: menurut data dari Chainalysis dan TRM Labs, lebih dari 3,4 miliar dolar dicuri sepanjang tahun itu. Hanya dari peretasan bursa Bybit di Dubai pada Februari 2025, kelompok peretas Korea Utara Lazarus berhasil membawa kabur sekitar 1,5 miliar dolar dalam bentuk Ethereum — menjadikannya pencurian terbesar dalam sejarah industri kripto, sekaligus salah satu pencurian finansial terbesar dalam sejarah umat manusia.

Sementara itu, jumlah insiden yang melibatkan kompromi dompet pribadi meningkat hingga 158.000 kasus, berdampak pada lebih dari 80.000 korban unik. Para peretas Korea Utara secara keseluruhan mencuri 2,02 miliar dolar hanya pada tahun 2025 — meningkat 51% dibandingkan tahun sebelumnya — sehingga total estimasi kumulatif aset yang dicuri oleh Pyongyang mencapai 6,75 miliar dolar.

Kita hidup di era di mana aset digital bernilai ratusan miliar dolar dilindungi hanya oleh 12 kata yang ditulis di selembar kertas, sementara peretas profesional yang didukung negara menyerang bursa kripto dengan tingkat keteraturan yang sama seperti pasukan khusus yang menyerbu fasilitas militer.

Untuk memahami anatomi kejahatan kripto, teknologi investigasi, dan cara-cara praktis melindungi diri, kami mempertemukan dua orang pakar.

Alexander Mercer adalah pemimpin redaksi portal iTrusty.io, penulis rubrik "AI × Crypto: Data-Driven Insights", dan spesialis di persimpangan antara teknologi dan pasar keuangan. Ulasan mingguannya dibaca oleh lebih dari 200.000 pelanggan.

Robert Stanley adalah kepala divisi keamanan siber di salah satu bank terbesar di dunia. Sebelumnya, ia memimpin unit investigasi kejahatan siber di kepolisian salah satu negara Eropa. Dalam karier lebih dari 15 tahun, ia telah terlibat dalam penyelidikan puluhan kejahatan kripto besar, termasuk kasus yang melibatkan kelompok peretas yang didukung negara. Demi alasan keamanan dan kebijakan perusahaan, nama bank dan negara yang bersangkutan tidak diungkapkan.

Format pertemuan ini adalah wawancara mendalam dengan pakar. Alexander Mercer mengajukan pertanyaan dari sudut pandang jurnalis dan analis, sementara Robert Stanley menjawab dari sudut pandang praktisi — seseorang yang secara langsung telah menginvestigasi peretasan terbesar dan membangun sistem keamanan untuk pemain institusional. Percakapan berlangsung lebih dari empat jam dan mencakup segalanya: mulai dari anatomi teknis peretasan hingga psikologi korban, dari chain forensics hingga rekomendasi praktis penyimpanan aset kripto. Berikut adalah transkrip lengkapnya.

Bagian I. Skala Masalah: Seberapa Besar Nilai Kripto yang Dicuri dan Mengapa Angkanya Terus Meningkat

Alexander Mercer: Robert, mari kita mulai dari skala permasalahannya. Orang awam yang mendengar "satu setengah miliar dolar dicuri dari bursa" mungkin menganggapnya seperti cerita dalam film. Seberapa nyata dan sistematis sebenarnya masalah pencurian di industri kripto ini?

Robert Stanley: Ini bukan cerita film — ini kenyataan, dan skalanya mengejutkan bahkan bagi kami para profesional. Mari kita lihat angka-angkanya selama beberapa tahun terakhir, karena trennya berbicara sendiri.

Pada tahun 2022, rekor sebelumnya ditetapkan — 3,8 miliar dolar aset dicuri. Tahun 2023, volume pencurian turun menjadi 1,7 miliar dolar — penurunan sebesar 54%. Sepertinya industri mulai belajar. Namun pada tahun 2024, tren berbalik: 2,2 miliar dolar, naik 21% dari tahun ke tahun, dengan 303 insiden terpisah. Lalu tahun 2025 memecahkan semua rekor: 3,4 miliar dolar, padahal hanya dalam semester pertama saja sudah tercuri 2,17 miliar — lebih besar dari total sepanjang tahun 2024.

Alexander Mercer: Jadi, industri tumbuh — dan pencurian pun ikut tumbuh bersamanya?

Robert Stanley: Tepat sekali. Namun penting untuk memberikan konteks: total volume pencurian masih kurang dari 1% dari keseluruhan transaksi kripto. Masalahnya nyata, tetapi tidak mendefinisikan industri secara keseluruhan. Yang mendefinisikan industri adalah kemampuannya untuk merespons, menyelidiki, dan memulihkan aset.

Yang membuat saya khawatir sebagai seorang profesional adalah pergeseran dalam karakter ancaman. Jika sebelumnya target utama adalah protokol DeFi dengan kode yang belum diaudit, maka pada tahun 2024–2025 fokusnya bergeser ke layanan terpusat dan kompromi kunci privat. Menurut data TRM Labs, serangan infrastruktur — terutama pencurian kunci privat dan seed phrase — menyumbang hampir 70% dari total nilai yang dicuri pada tahun 2024. Ini berarti masalahnya telah berpindah dari ranah "kode yang buruk" ke ranah "proses keamanan yang buruk."

Alexander Mercer: Dan Korea Utara — apakah itu bukan sekadar mitos? Apakah sebuah negara benar-benar terlibat dalam pencurian mata uang kripto?

Robert Stanley: Ini bukan mitos, dan ini bukan berlebihan. Korea Utara adalah satu-satunya negara di dunia yang secara sistematis, di tingkat negara, mencuri mata uang kripto untuk mendanai program militernya. Pada tahun 2025, peretas Korea Utara mencuri 2,02 miliar dolar — yakni 76% dari seluruh pencurian yang berasal dari berbagai layanan. Total kumulatif sejak operasi mereka dimulai mencapai tidak kurang dari 6,75 miliar dolar.

Kelompok Lazarus, yang berada di balik sebagian besar serangan ini, menggunakan metode yang luar biasa canggih. Salah satu vektor utama mereka adalah menyusupkan spesialis IT Korea Utara ke dalam perusahaan-perusahaan Barat dengan menyamar sebagai pekerja lepas. Mereka mendapatkan akses sah ke sistem perusahaan, lalu menyerahkan akses tersebut kepada rekan-rekan peretas mereka. Ini bukan "peretas berkerudung di ruang bawah tanah" — ini adalah operasi negara yang terorganisir dan memiliki sumber daya besar.

FBI secara terbuka menyatakan bahwa peretasan Bybit dilakukan oleh Korea Utara. Sayangnya, instrumen sanksi konvensional tidak berdampak — Korea Utara sudah berada di bawah sanksi maksimum. Bagi mereka, pencurian kripto bukan kejahatan, melainkan strategi ekonomi.

Bagian II. Anatomi Kejahatan Kripto: Semua Metode Peretasan dan Pencurian

Alexander Mercer: Mari kita bahas ini sedetail mungkin. Metode apa saja yang digunakan para pelaku kejahatan untuk mencuri mata uang kripto? Saya ingin para pembaca kami memahami setiap vektor serangan.

Robert Stanley: Ini pendekatan yang tepat, karena tanpa memahami ancamannya, tidak mungkin ada perlindungan yang efektif. Saya akan memetakan semua vektor utama — ada tujuh kategori besar, masing-masing dengan sub-kategorinya.

Kategori 1. Eksploitasi Smart Contract

Robert Stanley: Smart contract adalah kode perangkat lunak yang mengelola miliaran dolar. Satu kesalahan dalam satu baris kode bisa berharga ratusan juta dolar.

Serangan Reentrancy

Vektor klasik yang sudah terkenal sejak tahun 2016 lewat serangan terhadap The DAO, di mana 3,6 juta ETH dicuri (senilai 60 juta dolar pada kurs saat itu). Intinya: penyerang memanggil fungsi penarikan dana, dan sebelum kontrak memperbarui saldo, fungsi yang sama dipanggil lagi secara rekursif. Kontrak "mengira" saldonya belum berubah, lalu kembali mengeluarkan dana. Sepertinya semua orang sudah tahu soal ini. Namun pada tahun 2023, Curve Finance kehilangan sekitar 70 juta dolar akibat kerentanan serupa. Para programmer memahami teorinya, tetapi dalam sistem kompleks dengan puluhan smart contract yang saling berinteraksi, bug reentrancy bisa bersembunyi di tempat-tempat yang tidak terduga.

Manipulasi Oracle

Smart contract tidak memiliki akses langsung ke data eksternal. Mereka menerima harga aset, nilai tukar mata uang, dan informasi lainnya melalui oracle — layanan perantara eksternal. Jika penyerang dapat memanipulasi harga suatu aset secara sementara di satu platform (misalnya melalui flash loan), ia bisa "mengelabui" oracle dan melakukan transaksi menguntungkan berdasarkan harga yang dibuat-buat. Ini seperti seseorang yang sementara mengubah kurs dolar di papan penukaran uang saat Anda sedang bertransaksi.

Kesalahan Logika dalam Sistem Agunan dan Likuiditas

Protokol pinjaman dan likuiditas DeFi menggunakan rumus matematika yang kompleks untuk menghitung agunan, suku bunga, dan posisi. Kesalahan dalam rumus, edge case yang tidak diperhitungkan, atau pembulatan yang salah — semuanya bisa memungkinkan penyerang menarik lebih banyak dari yang seharusnya, atau menciptakan posisi yang secara sistemik tidak bisa dilikuidasi.

Eksploitasi Bridge (Bridge Exploits)

Bridge adalah infrastruktur untuk memindahkan aset antar blockchain. Pada dasarnya, bridge adalah "bank" yang menyimpan jaminan di satu jaringan dan menerbitkan token setara di jaringan lain. Bridge menjadi target paling "mahal": Ronin Network kehilangan 624 juta dolar, Wormhole 320 juta dolar, dan Nomad 190 juta dolar. Alasannya adalah bridge menggabungkan kompleksitas interaksi lintas jaringan dengan volume dana yang sangat besar yang terkunci di dalamnya.

Serangan Flash Loan

Flash loan adalah pinjaman instan tanpa agunan yang harus dikembalikan dalam satu transaksi. Ini adalah instrumen yang sah, tetapi dimanfaatkan oleh penyerang untuk melakukan manipulasi: meminjam jumlah besar, memanipulasi harga, mengambil keuntungan, mengembalikan pinjaman — semuanya dalam satu transaksi. Penyerang tidak memerlukan modal sendiri.

Kategori 2. Kompromi Kunci Privat dan Seed Phrase

Alexander Mercer: Anda menyebutkan bahwa ini kini menjadi vektor utama — 70% dari seluruh pencurian. Bisakah Anda menjelaskan lebih lanjut?

Robert Stanley: Ini adalah cara yang paling "sederhana" sekaligus paling berbahaya. Kunci privat adalah satu-satunya hal yang diperlukan untuk kendali penuh atas sebuah dompet. Seed phrase adalah representasi mnemonik dari kunci tersebut, biasanya terdiri dari 12 atau 24 kata. Siapa yang memegang kunci, dialah yang memiliki aset — tanpa pengecualian, tanpa banding.

Phishing — Klasik dan Tingkat Lanjut

Metode yang paling umum. Korban menerima email, pesan di Telegram, Discord, atau Twitter yang meniru layanan sah: bursa, dompet, atau protokol DeFi. Tautan mengarah ke situs phishing yang tampak identik dengan aslinya. Korban memasukkan seed phrase atau menandatangani transaksi berbahaya.

Phishing tingkat lanjut pada tahun 2025 memanfaatkan AI untuk membuat pesan yang dipersonalisasi, mengkloning suara untuk panggilan telepon, dan menciptakan deepfake untuk konferensi video. Kami melihat kasus di mana "rekan kerja" dalam panggilan video meminta penandatanganan transaksi — dan semua wajah yang muncul di layar ternyata adalah deepfake.

Perangkat Lunak Berbahaya (Malware)

Clipper — program yang mengganti alamat dompet yang disalin dengan alamat milik penyerang. Anda menyalin alamat teman, lalu menempelkannya di kolom pengiriman — tetapi yang tertempel adalah alamat peretas. Keylogger — merekam semua penekanan tombol, termasuk saat Anda mengetik kata sandi atau seed phrase. Stealer — perangkat lunak khusus yang mencari file dompet, konfigurasi, cookie, dan sesi di komputer Anda. Trojan InfoStealer seperti RedLine, Raccoon, dan Vidar merupakan ancaman massal yang menyebar melalui perangkat lunak bajakan, program yang di-crack, dan pembaruan palsu.

Library yang Terinfeksi dan CI/CD

Vektor ini menargetkan para pengembang. Penyerang menerbitkan paket berbahaya di npm, PyPI, atau repositori lain dengan nama yang mirip dengan library populer (typosquatting). Pengembang yang menginstalnya akan membuat kode berbahaya mendapatkan akses ke kunci privat, variabel lingkungan, dan rahasia pipeline CI/CD. Inilah cara beberapa proyek besar mengalami kompromi kunci mereka.

Kebocoran Seed Phrase Akibat Faktor Manusia

Foto seed phrase yang tersimpan di cloud (Google Photos, iCloud), catatan di aplikasi ponsel, file bernama "passwords.txt" di desktop, seed phrase yang disimpan di manajer kata sandi yang terkompromi (seperti LastPass pada tahun 2022). Mungkin terlihat seperti kesalahan yang jelas. Namun justru hal-hal ini tetap menjadi salah satu jalur kebocoran utama.

"Menandatangani yang Salah" — Malicious Approval

Pengguna menghubungkan dompetnya ke sebuah situs dan menandatangani transaksi tanpa memahami isinya. Alih-alih "izinkan kontrak ini menggunakan 100 USDT", ia justru menandatangani "izinkan kontrak ini menggunakan semua token saya tanpa batas." Atau ia menandatangani permit yang memberi penyerang hak untuk menarik dana tanpa konfirmasi tambahan. Ini adalah momok bagi para pengguna DeFi.

Inilah persis yang terjadi pada peretasan Bybit: para penandatangan dompet multisig menyetujui sebuah transaksi tanpa memverifikasi apa yang sebenarnya mereka tandatangani di layar hardware wallet mereka. Seandainya mereka memverifikasi data transaksi tersebut, 1,5 miliar dolar akan tetap aman.

Kategori 3. Serangan terhadap Infrastruktur

Robert Stanley: Ini adalah serangan peretas yang lebih "tradisional", diadaptasi untuk dunia kripto.

DNS Hijack — Pembajakan Domain

Penyerang mengambil kendali atas catatan DNS domain sebuah proyek. Ketika pengguna mengunjungi situs yang sudah familiar lewat alamat yang biasa, mereka dialihkan ke salinan phishing. Domain-nya sama, sertifikat SSL bahkan bisa diterbitkan ulang. Korban tidak melihat perbedaan apa pun. Beberapa proyek DeFi besar telah menjadi korban serangan semacam ini.

Penggantian Frontend

Penyerang mengkompromi CDN (jaringan pengiriman konten) atau pipeline CI/CD sebuah proyek dan memodifikasi frontend — antarmuka pengguna. Smart contract-nya tetap aman, tetapi antarmuka yang sudah dimanipulasi menyisipkan alamat berbahaya ke dalam transaksi. Pengguna mengira sedang berinteraksi dengan kontrak yang sah, padahal sebenarnya ia mengirim dana kepada peretas.

Kompromi API Key Bursa

Jika pengguna membuat API key di bursa untuk bot atau layanan pihak ketiga, lalu key tersebut bocor — baik melalui layanan yang terkompromi, repositori GitHub, maupun logging — penyerang mendapatkan akses ke akun trading. Ia bisa bertransaksi, bahkan menarik dana jika key tersebut memiliki izin penarikan.

Serangan SIM-Swap

Penyerang meyakinkan operator seluler untuk menerbitkan ulang kartu SIM korban atas namanya. Dengan itu, ia mendapatkan akses ke kode SMS untuk autentikasi dua faktor, lalu masuk ke email, bursa, atau dompet korban. Serangan ini sangat efektif di negara-negara dengan proses verifikasi operator yang kurang ketat. Kami telah menyaksikan puluhan kasus di mana SIM-swap mengakibatkan kerugian ratusan ribu dolar.

Serangan terhadap Penyimpanan Cloud dan Server

Jika kunci privat atau seed phrase disimpan di server cloud, VPS, atau jaringan perusahaan, maka kompromi terhadap infrastruktur tersebut secara otomatis berarti kompromi terhadap dompet-dompetnya. Kebocoran dari AWS S3, akun administrator yang terkompromi, atau pengaturan akses yang salah konfigurasi — semuanya adalah vektor serangan nyata.

Kategori 4. Rekayasa Sosial dan Ancaman dari Dalam

Alexander Mercer: Ini mungkin vektor yang paling "manusiawi"?

Robert Stanley: Ya, dan sering kali yang paling merusak. Di sini masalahnya bukan pada teknologi, melainkan pada kepercayaan, manipulasi, dan kelemahan manusia.

"Pig Butchering" — Penipuan Kripto Berkedok Romansa

Skema yang telah menjadi wabah sesungguhnya. Korban berkenalan dengan seseorang yang "menarik" di media sosial atau situs kencan. Hubungan pun terjalin — kadang berlangsung selama berminggu-minggu atau berbulan-bulan. Kemudian "pasangan" itu menceritakan sebuah "peluang investasi kripto yang luar biasa." Korban mendaftar di platform palsu, menyetorkan uang, dan melihat "keuntungan" di layar. Ia pun terus menginvestasikan lebih banyak. Saat mencoba menarik dana — uangnya hilang.

Menurut data Departemen Kehakiman AS, hanya pada tahun 2024 saja warga Amerika kehilangan sekitar 10 miliar dolar akibat penipuan investasi kripto. Pada Oktober 2025, DOJ menyita lebih dari 15 miliar dolar dalam salah satu operasi terbesar melawan jaringan pig butchering. Skala skema-skema ini bersifat industrial, sering kali menggunakan tenaga kerja paksa di pusat panggilan di Asia Tenggara.

Platform Investasi Palsu

Bursa-bursa palsu dengan desain profesional, grafik fiktif, dan "layanan pelanggan" tiruan. Korban mentransfer dana — dan tidak pernah melihatnya lagi. Platform-platform ini kerap diiklankan melalui YouTube, saluran Telegram, spam email, dan kini bahkan melalui "pakar keuangan" yang dihasilkan AI dalam video-video buatan.

Serangan dari Dalam (Insider Attack)

Ini adalah kelas yang paling tidak menyenangkan. Karyawan bursa, pengembang proyek, mitra, atau kontraktor yang memiliki akses ke sistem menggunakan akses tersebut untuk mencuri, atau menyerahkannya kepada penyerang eksternal. Pencurian dari dalam sangat sulit diinvestigasi karena "penyerang" tampak seperti pengguna yang sah.

Korea Utara secara aktif memanfaatkan vektor ini: spesialis IT mereka secara curang mendapatkan pekerjaan jarak jauh di perusahaan-perusahaan Barat, memperoleh akses ke sistem internal, lalu membuka pintu bagi kelompok peretas mereka.

Airdrop dan Giveaway Palsu

"Elon Musk membagikan Bitcoin — kirim 0,1 BTC dan dapatkan 1 BTC kembali." Kedengarannya absurd. Namun orang-orang masih terus tertipu. Versi yang lebih canggih: airdrop palsu yang meminta pengguna "mengonfirmasi" keikutsertaan dengan menghubungkan dompet ke smart contract berbahaya.

Kategori 5. Rug Pull — "Menarik Karpet"

Robert Stanley: Ini adalah kategori tersendiri yang layak mendapat perhatian. Rug pull terjadi ketika para pencipta sebuah proyek dengan sengaja membuat token atau protokol untuk menarik investasi, lalu kabur membawa semua dana.

Cara kerjanya: tim membuat token, menggelembungkan hype melalui media sosial dan influencer, menarik likuiditas dari para investor, lalu seketika menarik semua dana dari pool likuiditas. Harga token langsung jatuh ke nol. Para investor tertinggal dengan token yang tidak bernilai.

Variasinya: "soft rug" — tim tidak menghilang seketika, melainkan secara bertahap kehilangan minat, menghentikan pengembangan, dan menjual token mereka. "Hard rug" — penarikan seluruh likuiditas secara instan. "Honeypot" — token yang bisa dibeli, tetapi secara teknis tidak bisa dijual karena kode tersembunyi dalam kontraknya.

Kategori 6. Serangan terhadap Keamanan Fisik

Alexander Mercer: Kita selalu membicarakan serangan digital. Bagaimana dengan ancaman fisik?

Robert Stanley: Sayangnya, ini adalah tren yang terus meningkat. Seiring meningkatnya nilai aset kripto, jumlah serangan fisik terhadap para pemegang kripto pun ikut bertambah.

"Wrench attack" — serangan kunci inggris — adalah istilah dari komunitas kripto yang menggambarkan situasi di mana pelaku kejahatan secara fisik mengancam pemilik dompet untuk mendapatkan akses ke dana mereka. Ini bisa berupa penculikan, perampokan, atau pemerasan. Daftar publik insiden semacam ini mencatat puluhan kasus di seluruh dunia, beberapa di antaranya berakhir fatal.

Pada tahun 2024–2025, tercatat peningkatan serangan yang terencana terhadap investor dan pengusaha kripto. Para pelaku menemukan target mereka melalui data blockchain publik, aktivitas di media sosial, dan kehadiran di konferensi.

Kategori 7. Ancaman dari Negara dan Kegagalan Sistemik

Robert Stanley: Perlu disebutkan secara terpisah tentang risiko yang bukan berasal dari peretas, melainkan dari negara dan kegagalan institusional.

Konfiskasi: otoritas negara dapat membekukan atau menyita aset kripto di platform yang diregulasi. Kebangkrutan bursa: FTX, Mt. Gox, QuadrigaCX — kisah-kisah di mana dana pengguna menjadi tidak dapat diakses bukan karena peretasan eksternal, melainkan akibat penipuan atau ketidakmampuan manajemen bursa. Perubahan regulasi: larangan mendadak, pemblokiran, atau persyaratan baru dapat membatasi akses ke dana.

Bagian III. Chain forensics: bagaimana pencurian di blockchain diselidiki

Alexander Mercer: Sekarang mari kita beralih ke penyelidikan. Apakah benar bahwa "di kripto semuanya anonim"?

Robert Stanley: Itu adalah salah satu mitos yang paling sulit dihilangkan. Blockchain bukanlah sistem anonim. Ini adalah sistem pseudonim. Dan perbedaannya sangat besar.

Anonimitas berarti transaksi tidak bisa dilihat. Namun blockchain secara harfiah adalah buku besar publik. Setiap transaksi tercatat secara permanen, dapat diakses oleh siapa saja, dan tidak dapat diubah. Memang, alamat dompet hanyalah serangkaian karakter, bukan nama lengkap. Tapi menghubungkan alamat dengan identitas seseorang — itulah tepatnya yang dilakukan chain forensics.

Apa itu chain forensics sebagai sebuah industri?

Robert Stanley: Chain forensics adalah industri yang berada di persimpangan beberapa disiplin ilmu. Ini bukan "satu tombol" atau alat ajaib. Ini adalah ekosistem dari lima komponen utama.

Komponen pertama — data. Ini mencakup node blockchain, pengindeks, dan arsip transaksi. Untuk penyelidikan, diperlukan akses ke riwayat lengkap setiap alamat, setiap kontrak, setiap pergerakan dana di semua jaringan.

Kedua — analitik. Pengelompokan alamat, pembuatan graf transaksi, identifikasi pola. Ini adalah pekerjaan algoritmik di mana AI dan pembelajaran mesin memainkan peran yang semakin besar.

Ketiga — kerja operasional. Kontak dengan bursa, OTC desk, jembatan, dan penyedia dompet. Setelah Anda mengidentifikasi bahwa dana telah masuk ke bursa tertentu — Anda perlu segera menghubungi departemen compliance mereka untuk pembekuan.

Keempat — compliance dan aspek hukum. Daftar sanksi, prosedur AML, persiapan bukti untuk pengadilan, dan koordinasi dengan penegak hukum.

Kelima — respons insiden (incident response). Inilah yang perlu dilakukan dalam menit-menit dan jam-jam pertama setelah peretasan.

Pemain utama industri chain forensics

Bagaimana pengelompokan alamat bekerja?

Alexander Mercer: Ada miliaran alamat di blockchain. Para penjahat memecah dana ke ratusan dompet. Bagaimana Anda menghubungkan semuanya menjadi satu "kluster"?

Robert Stanley: Pengelompokan bukan tebak-tebakan. Ini adalah akumulasi sistematis dari sinyal-sinyal, yang masing-masing meningkatkan keyakinan tentang keterkaitan antar alamat.

Pola perilaku: interval waktu yang sama antar transaksi, jumlah yang sama (atau jumlah yang terhubung secara matematis), rangkaian langkah yang serupa. Jika dua alamat melakukan transaksi dengan interval 3 menit 47 detik sebanyak lima kali berturut-turut — itu bukan kebetulan.

Koneksi teknis: pada blockchain berbasis UTXO (Bitcoin) — input bersama dalam transaksi, yang biasanya menunjukkan kontrol oleh satu kunci. Pada blockchain berbasis akun (Ethereum) — interaksi melalui kontrak perantara yang sama, pola gas.

Jejak infrastruktur: penggunaan jembatan, mixer, dan kontrak pertukaran yang sama. Rute pergerakan dana yang identik.

Persilangan dengan entitas yang dikenal: alamat deposit bursa terpusat, hot wallet layanan yang sudah dikenal, alamat yang terkena sanksi OFAC. Jika dana masuk ke alamat yang sudah kita kaitkan dengan bursa tertentu — rantai pun terhubung.

Prinsip penting: penyelidikan yang serius memiliki tingkatan kepercayaan. Kami tidak mengatakan "ini pasti dia" tanpa dasar. Kami bekerja dengan kategori: high confidence, medium confidence, low confidence — dan selalu menyebutkan data apa yang menjadi dasar pernyataan tersebut.

Mixer, tumbler, dan koin privat: bisakah jejak "dihapus"?

Alexander Mercer: Bagaimana dengan mixer seperti Tornado Cash? Bukankah itu menghapus jejak?

Robert Stanley: Mixer mempersulit pekerjaan, tapi tidak membuatnya mustahil. Tornado Cash, ChipMixer, Sinbad — semua layanan ini "mencampur" dana dari berbagai pengguna untuk memutus hubungan antara pengirim dan penerima.

Namun forensik memiliki tindakan balasan. Analisis timing: kapan dana masuk ke mixer dan kapan keluar, korelasi berdasarkan waktu dan jumlah. Analisis "dust": sisa kecil yang tidak bisa "tercampur" dengan sempurna. Deanonimisasi alamat deposit mixer melalui data eksternal. Analisis jaringan: jika pengguna yang sama berulang kali menggunakan mixer, polanya menjadi dapat dikenali.

Selain itu, mixer besar masuk dalam daftar sanksi. Tornado Cash dimasukkan ke dalam daftar sanksi OFAC pada tahun 2022. Artinya, dana yang melewati Tornado Cash secara otomatis "ditandai" pada sistem compliance semua bursa yang diregulasi.

Mengenai koin privat (Monero, Zcash) — memang benar bahwa keduanya mempersulit penyelidikan secara signifikan. Monero menggunakan ring signature, stealth address, dan transaksi rahasia. Namun bahkan di sini terdapat titik kerentanan: saat masuk (membeli Monero dengan kripto lain) dan keluar (menukar kembali). Dan sebuah perusahaan Rusia, menurut kabar, bahkan telah mengembangkan alat untuk deanonimisasi Monero secara parsial.

Bagian IV. Satu jam pertama setelah pencurian: protokol langkah demi langkah

Alexander Mercer: Katakanlah pembaca kami menemukan bahwa dananya dicuri. Atau pemimpin proyek kripto mengetahui adanya peretasan. Apa yang harus dilakukan? Berikan panduan langkah demi langkah.

Robert Stanley: Satu jam pertama itu seperti resusitasi. Setiap menit sangat berarti. Saya akan memberikan dua protokol: untuk pengguna individu dan untuk proyek/perusahaan.

Protokol untuk pengguna individu: apa yang harus dilakukan jika kripto Anda dicuri

Langkah 1. Hentikan pendarahan (5 menit pertama)

Segera pindahkan semua dana yang tersisa dari dompet yang telah dikompromikan ke alamat baru yang aman. Jika ini akun bursa — bekukan akun melalui layanan dukungan, cabut semua API key. Jika seed phrase telah dikompromikan — anggap bahwa SEMUA dompet yang dibuat dari frasa tersebut berada dalam bahaya. Buat dompet baru dengan seed phrase BARU di perangkat yang BERSIH.

Langkah 2. Dokumentasikan bukti (5–30 menit)

Catat: waktu tepat penemuan, hash transaksi yang digunakan untuk menarik dana, alamat pengirim (milik Anda) dan penerima (pelaku), jumlah dan jenis token, tangkapan layar, percakapan, tautan mencurigakan. Jangan coba "memperbaiki" apapun di tahap ini — hanya dokumentasikan. Data ini akan diperlukan untuk penyelidikan dan kemungkinan proses hukum.

Langkah 3. Laporkan ke bursa (30 menit — 2 jam)

Jika dana telah dipindahkan ke bursa — segera hubungi layanan dukungan bursa tersebut. Semua bursa besar (Binance, Coinbase, Kraken, OKX, Bybit) memiliki prosedur pembekuan darurat jika disertai bukti pencurian. Semakin cepat Anda menghubungi — semakin tinggi kemungkinan dana dibekukan sebelum peretas mencairkannya.

Yang perlu dilampirkan dalam laporan: hash transaksi, deskripsi insiden, alamat Anda (pengirim), alamat penerima, bukti kepemilikan Anda (riwayat transaksi, data KYC).

Langkah 4. Hubungi spesialis forensik (2–24 jam)

Jika jumlahnya signifikan — hubungi perusahaan yang mengkhususkan diri dalam investigasi blockchain (Chainalysis, TRM Labs, SlowMist, Crystal Blockchain, atau pakar independen). Mereka dapat: melacak jalur dana, menyiapkan laporan untuk penegak hukum, memberi tahu bursa melalui saluran mereka sendiri (seringkali lebih cepat daripada melalui dukungan publik).

Langkah 5. Buat laporan polisi (24–72 jam)

Bahkan jika tampaknya "polisi tidak akan membantu" — laporan tetap diperlukan. Pertama, ini adalah dasar hukum untuk meminta data dari bursa. Kedua, di beberapa yurisdiksi, proses pengembalian tidak dapat dimulai tanpa laporan. Ketiga, jika kasus diselidiki di tingkat internasional (Interpol, Europol, FBI), laporan Anda akan menjadi bagian dari bukti.

Langkah 6. Lakukan audit keamanan (1–7 hari)

Cari tahu BAGAIMANA pencurian terjadi. Periksa komputer dari malware, ganti kata sandi di semua layanan, aktifkan/perkuat 2FA, tinjau semua sesi aktif dan koneksi. Jika penyebabnya tidak teridentifikasi — konsultasikan dengan spesialis keamanan informasi.

Protokol untuk proyek/perusahaan: satu jam pertama setelah peretasan terdeteksi

Robert Stanley: Untuk proyek, prosedurnya lebih kompleks dan membutuhkan koordinasi tim.

Bagian V. Bisakah kripto yang dicuri dikembalikan?

Alexander Mercer: Pertanyaan terpenting dari para pembaca kami: apakah ada peluang nyata untuk mendapatkan kembali yang dicuri?

Robert Stanley: Jawaban jujurnya: terkadang — ya. Tapi itu bergantung pada banyak faktor.

Apa yang menentukan peluang pemulihan?

Kecepatan reaksi — faktor paling kritis. Jika dana masuk ke CEX sebelum Anda memberi tahu bursa — dana bisa dibekukan. Jika peretas sudah berhasil menarik dana — peluangnya turun drastis.

Rute dana. Jika uang masuk ke bursa yang diregulasi — peluang pembekuan tinggi. Jika melalui mixer dan kemudian ke Monero — peluangnya minimal. Jika melalui jembatan terdesentralisasi ke jaringan lain — tergantung pada kompleksitas penyelidikan.

Yurisdiksi. Jika peretas berada di negara dengan sistem hukum yang berkembang — pengadilan dapat memerintahkan pengembalian dana. Jika Korea Utara — tidak ada peluang.

Jumlah. Secara paradoks, pencurian besar diselidiki lebih aktif. $1,5 miliar Bybit — menggerakkan seluruh industri. $5.000 dari dompet pribadi — sayangnya, hanya mendapat perhatian minimal.

Kualitas bukti. Semakin baik dokumentasi — semakin mudah diselidiki dan semakin meyakinkan di pengadilan.

Kasus nyata pemulihan dana

Seperti yang terlihat, spektrumnya sangat luas. Dari pengembalian penuh dalam hitungan hari hingga proses hukum selama puluhan tahun. Namun bahkan ketika pengembalian penuh tidak memungkinkan, forensik tetap membantu: menutup celah keamanan, memulihkan kepercayaan pengguna, memberikan laporan yang transparan, mengurangi kemungkinan terulangnya kejadian, dan membantu penegak hukum dalam penyelidikan.

Bagian VI. Di mana dan bagaimana menyimpan kripto: panduan lengkap keamanan

Alexander Mercer: Mari beralih ke praktik. Bagaimana orang biasa melindungi aset kripto mereka?

Robert Stanley: Mari mulai dengan prinsip mendasar: tidak ada cara penyimpanan yang 100% aman. Namun ada spektrum — dari "sangat berbahaya" hingga "perlindungan maksimal". Dan tugas Anda adalah memilih tingkat keamanan yang sesuai dengan jumlah dan kebutuhan Anda.

Jenis dompet: dari yang paling berisiko hingga paling aman

Dompet perangkat keras 2026: mana yang dipilih?

Robert Stanley: Dompet perangkat keras adalah standar emas untuk penyimpanan. Kunci privat Anda tidak pernah meninggalkan perangkat fisik, bahkan saat terhubung ke komputer. Berikut model-model utamanya:

Aturan distribusi aset: "Jangan taruh semua telur dalam satu keranjang"

Alexander Mercer: Bagaimana cara mendistribusikan aset kripto dengan benar di antara berbagai tempat penyimpanan?

Robert Stanley: Saya merekomendasikan aturan 5/25/70 untuk sebagian besar pengguna.

5% — di bursa. Hanya dana yang sedang aktif Anda perdagangkan saat ini. Uang tunai panas untuk transaksi.

25% — di dompet panas (MetaMask, Trust Wallet, Phantom). Untuk DeFi, staking, transaksi sehari-hari. Jumlah yang masih bisa Anda tanggung jika hilang.

70% — di dompet perangkat keras atau multisig. Tabungan jangka panjang. Dana yang tidak Anda rencanakan untuk disentuh selama berbulan-bulan atau bertahun-tahun.

Untuk jumlah besar (lebih dari $100.000), saya merekomendasikan pengaturan multisig: 2-dari-3 atau 3-dari-5 kunci, didistribusikan di antara perangkat dan lokasi fisik yang berbeda. Ini melindungi bahkan dari pencurian satu perangkat.

20 aturan keamanan teratas: daftar periksa lengkap

Bagian VII. Cara menilai keamanan proyek kripto: daftar periksa untuk investor

Alexander Mercer: Bagaimana pengguna biasa bisa mengetahui apakah suatu proyek atau bursa layak dipercaya untuk menyimpan dana mereka?

Robert Stanley: Pertanyaan yang bagus. Saya telah mengembangkan sistem penilaian yang saya gunakan sendiri dan rekomendasikan kepada klien.

Audit smart contract

Apakah audit telah dilakukan? Oleh siapa? (CertiK, Trail of Bits, OpenZeppelin, Halborn — auditor yang terpercaya.) Berapa banyak audit? Satu audit adalah minimum. Dua atau tiga dari auditor berbeda — bagus. Apakah ditemukan kerentanan kritis? Bagaimana cara penanganannya? Apakah laporan dipublikasikan? Jika audit "lulus" tapi laporannya tertutup — itu pertanda yang mengkhawatirkan.

Program bug bounty

Apakah proyek memiliki program hadiah untuk kerentanan yang ditemukan? Platform Immunefi, HackerOne, Code4rena adalah saluran standar. Kelayakan hadiah: jika proyek mengelola ratusan juta dolar, sementara bounty maksimum hanya $10.000 — itu tidak serius. Proyek terbaik menawarkan bounty hingga 10% dari potensi kerugian maksimum.

Manajemen kunci

Multisig: berapa banyak tanda tangan yang diperlukan? 3-dari-5 adalah standar. 1-dari-1 adalah tanda bahaya. Timelock: apakah ada penundaan saat mengubah parameter kontrak yang kritis? Ini memberi pengguna waktu untuk bereaksi terhadap tindakan yang mencurigakan. Tim anonim dengan kendali penuh atas dana — tanda bahaya maksimal.

Proof of Reserves

Untuk bursa: apakah mereka menerbitkan laporan Proof of Reserves secara berkala? Apakah menggunakan Merkle Tree sebagai bukti? Apakah auditornya independen? Setelah runtuhnya FTX, ini menjadi standar yang wajib dipenuhi.

Transparansi komunikasi

Bagaimana proyek bereaksi terhadap insiden di masa lalu? Apakah ada post-mortem publik? Apakah korban mendapat kompensasi? Transparansi adalah indikator terbaik dari keseriusan pendekatan terhadap keamanan.

Bagian VIII. Masa depan keamanan kripto: apa yang akan berubah di 2026–2030

Alexander Mercer: Ke mana industri ini bergerak? Apakah akan menjadi lebih aman?

Robert Stanley: Saya melihat beberapa tren utama.

AI dalam keamanan siber dan forensik

AI sudah digunakan oleh kedua pihak. Para penyerang menggunakan AI untuk membuat pesan phishing, deepfake, dan mengotomatiskan pencarian kerentanan. Para pembela menggunakannya untuk menganalisis pola transaksi, pemantauan prediktif, dan klasifikasi ancaman secara otomatis. Chainalysis mengakuisisi Hexagate — perusahaan yang menggunakan AI untuk mendeteksi dan mencegah serangan secara real-time. Inilah masa depan: AI yang menghentikan serangan sebelum terjadi.

Account abstraction dan kematian seed phrase

Teknologi account abstraction (EIP-4337) memungkinkan pembuatan "akun pintar" dengan logika keamanan yang fleksibel: pemulihan sosial (teman mengkonfirmasi akses), batas transaksi, autentikasi multifaktor langsung di tingkat blockchain. Tangem sudah menawarkan dompet tanpa seed phrase. ZenGo menggunakan MPC. Tujuannya adalah menghilangkan titik kegagalan tunggal (satu frasa yang bisa dicuri).

Regulasi dan compliance

MiCA di Eropa, kerangka regulasi di UEA, Singapura, Jepang. Bursa diwajibkan menerapkan prosedur AML/KYC yang semakin ketat. Ini mempersulit kehidupan para penjahat pada tahap pencairan dana. Rusia sedang mempersiapkan aturan sendiri menjelang Juli 2026. Trennya — semakin banyak "titik keluar" yang dikontrol.

Ancaman kuantum — apa yang menanti kita?

Komputer kuantum secara teoritis dapat membobol kriptografi yang mendasari Bitcoin dan Ethereum. Namun dalam praktiknya, ini adalah ancaman pada cakrawala 10–15 tahun ke depan. Trezor Safe 7 sudah diposisikan sebagai "quantum-ready". Industri sedang bersiap, transisi ke kriptografi post-kuantum hanyalah masalah waktu, bukan sesuatu yang mendesak.

Desentralisasi kunci

MPC (Multi-Party Computation), SSS (Shamir Secret Sharing), distributed key generation. Teknologi-teknologi ini mendistribusikan kendali atas kunci di antara beberapa peserta atau perangkat, menghilangkan titik kompromi tunggal. Cypherock X1 sudah menggunakan Shamir untuk mendistribusikan kunci ke kartu fisik. Arah ini akan terus berkembang.

Bagian IX. Psikologi Kejahatan Kripto: Mengapa Orang Bisa Terjebak

Alexander Mercer: Blok terakhir yang ingin saya bahas adalah faktor manusia. Mengapa bahkan orang yang berpengalaman pun bisa menjadi korban?

Robert Stanley: Karena para pelaku kejahatan tidak mengeksploitasi kelemahan teknis, melainkan kelemahan psikologis. Dan mereka melakukannya secara profesional.

FOMO (Fear of Missing Out / Takut Ketinggalan)

"Token ini sudah naik 1000%, dan kamu belum beli?" — ini adalah pendorong paling kuat di balik keputusan impulsif dalam dunia kripto. FOMO mendorong orang untuk menanamkan uang di proyek yang belum terbukti, terhubung ke kontrak yang mencurigakan, dan mengabaikan tanda-tanda bahaya. Para pelaku kejahatan dengan sengaja menciptakan FOMO buatan: "hanya tersisa 5 slot", "harga akan naik dalam satu jam", "akses eksklusif hanya melalui tautan ini".

Kepercayaan pada Otoritas

"Elon Musk merekomendasikan ini", "influencer ini sudah menghasilkan satu juta" — otoritas palsu dan rekomendasi fiktif. Deepfake membuat semuanya semakin meyakinkan. Kita pernah melihat video di mana "Vitalik Buterin" merekomendasikan token tertentu. Video tersebut sepenuhnya dibuat oleh AI.

Kelebihan Beban Kognitif

Antarmuka DeFi memang rumit. Transaksi terlihat seperti rangkaian karakter heksadesimal. Orang-orang diminta untuk menandatangani sesuatu yang tidak bisa mereka baca, sementara waktu untuk memahaminya "tidak ada". Para pelaku kejahatan memanfaatkan kelebihan beban ini: semakin banyak langkah, semakin rumit prosesnya, semakin besar kemungkinan korban akan mengklik "konfirmasi" tanpa melihat isinya.

Sisi Gelap Desentralisasi: "Tidak Ada Tombol Batal"

Dalam keuangan tradisional, bank dapat membatalkan transaksi yang mencurigakan. Dalam kripto — tidak bisa. Ini adalah kebebasan, sekaligus tanggung jawab. Banyak orang memasuki dunia kripto dengan mentalitas perbankan: "kalau ada masalah, bisa dibatalkan". Tidak bisa. Dan ini perlu dipahami sejak awal.

Bagian X. Bedah Kasus Peretasan Terbesar: Pelajaran Seharga Miliaran Dolar

Alexander Mercer: Robert, mari kita bedah kasus-kasus nyata — peretasan terbesar dan paling signifikan dalam beberapa tahun terakhir. Pelajaran apa yang bisa diambil oleh industri?

Robert Stanley: Setiap peretasan besar adalah buku teks keamanan siber. Mari kita bahas enam kasus utama.

Kasus 1: Bybit — $1,5 Miliar (Februari 2025)

Pencurian terbesar dalam sejarah industri kripto. Bursa asal Dubai, Bybit, kehilangan sekitar 1,5 miliar dolar dalam Ethereum. FBI dan beberapa perusahaan analitik blockchain mengatribusikan serangan ini kepada kelompok Lazarus asal Korea Utara.

Vektor serangan: kompromi pada proses penandatanganan transaksi multisig. Para penandatangan dompet multisig Bybit menyetujui transaksi tanpa memverifikasi isinya pada layar dompet perangkat keras mereka. Pada dasarnya, mereka menandatangani transaksi berbahaya sambil mengira sedang melakukan transfer rutin.

Apa yang salah: verifikasi yang tidak memadai. Seandainya setiap penandatangan memeriksa apa yang sebenarnya mereka tandatangani — alamat penerima, jumlah, calldata — serangan ini bisa dicegah. Masalahnya, banyak dompet perangkat keras menampilkan transaksi dalam format mentah — rangkaian karakter heksadesimal yang tidak bisa diinterpretasikan oleh manusia.

Pelajaran: multisig adalah syarat perlu, namun belum cukup untuk keamanan. Tanpa budaya verifikasi setiap transaksi, multisig hanya menjadi formalitas belaka. Pasca kejadian Bybit, industri aktif mendiskusikan standar verifikasi transaksi yang "dapat dibaca manusia" dan peningkatan antarmuka dompet perangkat keras.

Respons: Bybit meluncurkan program hadiah untuk informasi terkait pergerakan dana yang dicuri. Sebagian dana berhasil dilacak dan dibekukan di berbagai platform. Namun sebagian besar segera didistribusikan melalui bridge dan mixer menggunakan rantai transaksi kompleks yang khas dari taktik Korea Utara.

Kasus 2: DMM Bitcoin — $305 Juta (Mei 2024)

Bursa asal Jepang ini kehilangan 4.502 BTC. Serangan ini juga diatribusikan kepada Lazarus Group.

Vektor: kompromi kunci privat. Diduga, para penyerang mendapatkan akses melalui rekayasa sosial — seorang karyawan berhasil dikompromikan. Para spesialis IT Korea Utara menggunakan profil LinkedIn palsu untuk menjalin kontak.

Dampaknya sangat dahsyat: DMM Bitcoin tidak mampu pulih dari pukulan tersebut dan memutuskan untuk menutup bursa pada Desember 2024. Aset dan akun nasabah dialihkan ke SBI VC Trade — anak perusahaan konglomerat keuangan Jepang, SBI Group.

Pelajaran: bahkan bursa yang diregulasi di negara dengan regulasi kripto paling ketat sekalipun (Jepang) bisa jatuh menjadi korban rekayasa sosial. Perlindungan teknis tidak berdaya jika seorang karyawan menjadi titik lemah.

Kasus 3: WazirX — $234,9 Juta (Juli 2024)

Bursa terbesar India ini kehilangan dananya setelah para peretas menipu penandatangan yang berwenang untuk menyetujui transaksi berbahaya. Serangan ini berhasil melewati sistem keamanan berlapis karena ditujukan kepada manusia, bukan kode.

Keunikan kasus ini: para penyerang mempelajari prosedur penandatanganan di bursa tersebut dalam waktu lama, mengidentifikasi titik lemah pada faktor manusia, dan melancarkan serangan di saat kewaspadaan sedang menurun. Ini menunjukkan tingkat persiapan kelompok peretas yang didukung negara — mereka mempelajari target selama berbulan-bulan sebelum melancarkan serangan.

Kasus 4: Ronin Network — $624 Juta (Maret 2022)

Bridge Ronin Network yang melayani game Axie Infinity kehilangan 173.600 ETH dan 25,5 juta USDC. Serangan ini baru ditemukan enam hari setelah terjadi.

Vektor: kompromi 5 dari 9 validator melalui rekayasa sosial. Empat kunci diperoleh melalui karyawan Sky Mavis yang berhasil dikompromikan. Kunci kelima — melalui organisasi pihak ketiga, Axie DAO, yang masih memiliki otorisasi penandatanganan meski sudah tidak lagi berpartisipasi dalam prosesnya.

Pelajaran utama: kebersihan akses. Otorisasi yang sudah kedaluwarsa adalah pembunuh senyap dalam keamanan. Jika suatu organisasi sudah tidak lagi terlibat dalam proses penandatanganan — kuncinya harus segera dicabut. Selain itu: ambang 5-dari-9 terlalu rendah untuk nilai $624 juta. Dan pendeteksian yang baru terjadi enam hari kemudian merupakan kegagalan monitoring yang serius.

Kasus 5: FTX — $8,7 Miliar (November 2022)

Secara teknis, FTX bukanlah "peretasan". Ini adalah penipuan terbesar dalam sejarah kripto. Pendirinya, Sam Bankman-Fried, menggunakan dana nasabah untuk berdagang melalui dana afiliasi Alameda Research. Ketika hal ini terungkap, bursa tersebut runtuh dalam hitungan hari.

Namun selain penipuan, pada saat kebangkrutan juga terjadi pencurian: sekitar 477 juta dolar ditarik dari dompet FTX oleh pihak yang tidak dikenal. Penyelidikan masih berlanjut.

Pelajaran dari FTX: jangan menyimpan semua dana di satu bursa. Proof of Reserves adalah standar yang wajib diterapkan. Regulasi dan transparansi bukanlah musuh inovasi, melainkan syarat keberlangsungan. Pemimpin yang karismatik dan kantor yang megah bukanlah bukti kepercayaan.

Kasus 6: Poly Network — $611 Juta (Agustus 2021)

Kasus yang unik: peretas mengeksploitasi kerentanan dalam logika verifikasi lintas rantai dan menarik $611 juta. Namun kemudian... hampir semuanya dikembalikan. Ia mengklaim bahwa serangan tersebut dilakukan "untuk bersenang-senang" dan untuk mendemonstrasikan kerentanan yang ada. Poly Network kemudian menawarkan posisi "kepala penasihat keamanan" kepadanya.

Kasus ini melahirkan konsep "white hat hacking" dalam dunia kripto dan praktik negosiasi bounty. Saat ini, banyak proyek menyertakan klausul "safe harbor" dalam kontrak mereka — kerangka hukum yang memungkinkan peretas mengembalikan dana dengan imbalan hadiah dan kekebalan dari tuntutan hukum.

Bagian XI. Keamanan DeFi: Cara Menggunakan Keuangan Terdesentralisasi Tanpa Kehilangan Segalanya

Alexander Mercer: DeFi adalah salah satu bagian paling inovatif sekaligus paling berbahaya dalam dunia kripto. Bagaimana cara menggunakan DeFi dengan aman?

Robert Stanley: DeFi menawarkan peluang yang luar biasa — pinjaman terdesentralisasi, pertukaran, staking, yield farming. Namun justru di DeFi inilah pengguna paling rentan, karena tidak ada "layanan dukungan" maupun "tombol batal". Mari kita bahas aturan-aturan konkretnya.

Aturan 1: Selalu Periksa Apa yang Anda Tandatangani

Setiap interaksi dengan protokol DeFi adalah penandatanganan transaksi smart contract. Sebelum menandatangani, Anda harus memahami: kontrak apa yang Anda ajak berinteraksi (apakah alamatnya dikenal dan terverifikasi?), fungsi apa yang Anda panggil, dan izin (approvals) apa yang Anda berikan.

Gunakan alat yang "menerjemahkan" transaksi ke dalam bahasa yang mudah dipahami: Fire Extension, Pocket Universe, Blowfish. Ekstensi browser ini menunjukkan apa yang sebenarnya akan terjadi jika Anda menandatangani transaksi — sebelum Anda menekan "Confirm".

Aturan 2: Periksa dan Cabut Approvals Secara Berkala

Saat Anda menggunakan DEX (Uniswap, PancakeSwap), Anda memberikan izin (approval) kepada kontrak untuk menggunakan token Anda. Seringkali ini berupa "unlimited approval" — izin tanpa batas. Jika kontrak tersebut dikompromikan setelah Anda memberikan persetujuan, peretas akan mendapatkan akses ke semua token yang telah disetujui.

Solusinya: gunakan layanan revoke.cash untuk meninjau dan mencabut approval yang tidak diperlukan secara rutin. Lakukan ini setidaknya sekali sebulan. Bahkan lebih baik lagi — saat memberikan approval, tentukan jumlah yang spesifik, bukan unlimited.

Aturan 3: Jangan Mengejar Imbal Hasil yang Tidak Wajar

Jika sebuah protokol menjanjikan APY 100% sementara rata-rata pasar hanya memberikan 5–15%, tanyakan pada diri sendiri: uangnya dari mana? Dalam 90% kasus jawabannya — dari kantong investor baru (Ponzi) atau dari risiko yang tidak Anda lihat (impermanent loss, smart contract risk, rug pull).

Aturannya: jika imbal hasil terlihat terlalu bagus untuk menjadi kenyataan — memang begitulah adanya. Imbal hasil yang berkelanjutan di DeFi pada tahun 2026 adalah sekitar 3–15% per tahun untuk stablecoin dan 5–20% untuk aset yang volatil.

Aturan 4: Gunakan Transaksi Uji Coba

Sebelum mengirim jumlah besar, selalu kirimkan terlebih dahulu transaksi "uji coba" dengan jumlah minimal. Ini hanya membutuhkan biaya kecil untuk komisi, namun bisa menyelamatkan ribuan dolar. Pastikan dana sampai ke alamat yang benar dan kontrak bekerja sesuai harapan.

Aturan 5: Pisahkan Dompet DeFi "Panas" dan "Dingin"

Jangan gunakan satu dompet untuk penyimpanan sekaligus interaksi DeFi. Buat dompet "kerja" terpisah, yang hanya Anda isi dengan jumlah yang siap Anda gunakan di DeFi. Jika dompet ini dikompromikan melalui kontrak berbahaya — dana utama Anda tetap aman.

Aturan 6: Periksa Kontrak Sebelum Berinteraksi

Pemeriksaan minimal yang perlu dilakukan: apakah kontrak terverifikasi di Etherscan/BSCScan? Apakah ada audit? Kapan kontrak di-deploy (kontrak baru = risiko lebih tinggi)? Berapa TVL (Total Value Locked)-nya? TVL rendah = risiko tinggi. Siapa yang ada di balik proyek ini — tim yang publik atau anonim?

Gunakan layanan DeFi Safety, DefiLlama, DappRadar untuk memeriksa protokol sebelum berinvestasi. Token Sniffer dan GoPlusLabs — untuk memeriksa token dari honeypot dan fungsi tersembunyi.

Aturan 7: Berhati-hatilah dengan Bridge

Bridge lintas rantai adalah salah satu kategori infrastruktur yang paling rentan. Dari lima pencurian terbesar dalam sejarah kripto, tiga di antaranya adalah serangan terhadap bridge (Ronin, Wormhole, Nomad). Jika Anda perlu memindahkan dana antar jaringan — gunakan bridge yang sudah terbukti, memiliki reputasi baik, dan telah diaudit. Pecah transfer besar menjadi beberapa bagian. Dan ingat: setiap bridge menambah risiko kontrak.

Bagian XII. Lanskap Regulasi: Bagaimana Undang-Undang Membantu dan Menghambat Pemberantasan Kejahatan Kripto

Alexander Mercer: Bagaimana regulasi memengaruhi pemberantasan kejahatan kripto? Apakah membantu atau justru menghambat?

Robert Stanley: Ini pertanyaan yang kompleks, karena jawabannya adalah "keduanya", tergantung pada yurisdiksi tertentu dan keputusan regulasi tertentu.

Bagaimana Regulasi Membantu

KYC/AML di bursa adalah alat yang sangat penting. Ketika dana yang dicuri masuk ke bursa dengan KYC wajib, dana tersebut bisa dibekukan dan identitas penerimanya dapat ditetapkan. Itulah mengapa para pelaku kejahatan berusaha keras untuk menghindari platform yang diregulasi.

Daftar sanksi (OFAC) — memasukkan mixer seperti Tornado Cash ke dalam daftar sanksi menciptakan hambatan hukum bagi penggunaannya. Dana yang melewati alamat yang terkena sanksi secara otomatis "ditandai" oleh sistem kepatuhan bursa.

Kerja sama internasional — Europol, Interpol, FBI semakin aktif bekerja sama dalam penyelidikan kejahatan kripto. Pada tahun 2025, DOJ menyita lebih dari 15 miliar dolar dalam operasi terbesar melawan jaringan pig butchering.

Standar keamanan wajib — bursa yang berlisensi diwajibkan untuk menerapkan Proof of Reserves, dana asuransi pengguna, dan prosedur respons insiden.

Bagaimana Regulasi Menghambat

Fragmentasi yurisdiksi — pelaku mencuri di satu negara, mencuci uang di negara lain, dan mencairkan di negara ketiga. Koordinasi antara aparat penegak hukum dari berbagai negara membutuhkan waktu berminggu-minggu hingga berbulan-bulan, sementara uang berpindah dalam hitungan detik.

Regulasi yang berlebihan mendorong pengguna ke "zona abu-abu". Jika bursa yang sah menjadi terlalu rumit untuk digunakan, orang-orang akan beralih ke platform yang tidak diregulasi, di mana perlindungan mereka sangat minim.

Ketidakmampuan sistem hukum tradisional untuk bergerak secepat kripto. Mendapatkan perintah pembekuan bisa memakan waktu berhari-hari. Dalam waktu tersebut, dana sudah melewati sepuluh bridge dan tiga mixer.

Inisiatif Regulasi Utama 2025–2026

Bagian XIII. Pewarisan Kripto dan Akses Darurat: Apa yang Terjadi pada Kripto Anda Jika Sesuatu Menimpa Anda

Alexander Mercer: Topik yang hampir tidak pernah dipikirkan siapa pun: apa yang akan terjadi pada aset kripto Anda jika Anda tiba-tiba tidak bisa mengelolanya lagi?

Robert Stanley: Ini adalah salah satu masalah keamanan yang paling diremehkan. Menurut berbagai perkiraan, antara 3 hingga 4 juta Bitcoin hilang selamanya akibat kunci yang hilang. Itu sekitar 20% dari total pasokan BTC. Dan sebagian besar kerugian ini terjadi karena pemiliknya meninggal atau menjadi tidak cakap, sementara ahli warisnya tidak tahu cara mendapatkan akses.

Masalah Pewarisan Kripto

Dalam keuangan tradisional, rekening bank beralih kepada ahli waris melalui notaris. Kripto bekerja secara berbeda: tidak ada lembaga terpusat yang bisa "mengalihkan" akses. Jika seed phrase Anda hanya tersimpan di dalam kepala Anda (atau di dalam brankas yang tidak diketahui siapa pun) — aset Anda akan hilang selamanya.

Solusi

Pertama. Dokumentasikan. Buat panduan terperinci: dompet apa saja yang Anda miliki, akun di bursa mana saja, di mana seed phrase disimpan. Simpan panduan ini dalam amplop tersegel di notaris, brankas bank, atau pada orang yang Anda percaya.

Kedua. Shamir Secret Sharing. Bagi seed phrase menjadi beberapa bagian (misalnya, 3-dari-5) dan berikan bagian-bagiannya kepada orang-orang terpercaya yang berbeda. Tidak satu pun dari mereka yang memiliki akses penuh, namun bersama-sama, 3 dari 5 pihak mana pun dapat memulihkan dompet. Cypherock X1 mengimplementasikan fungsi ini pada tingkat perangkat keras.

Ketiga. Gunakan layanan dengan mekanisme warisan. Casa Wallet menawarkan fitur "akses warisan" — jika Anda tidak mengakses dompet dalam jangka waktu tertentu, prosedur pengalihan akses kepada ahli waris yang ditunjuk akan diaktifkan melalui beberapa tahap verifikasi.

Keempat. Pemulihan sosial melalui smart contract. Beberapa solusi dompet memungkinkan Anda menunjuk "guardians" — orang-orang terpercaya yang secara kolektif dapat memulihkan akses ke akun Anda. Ini diimplementasikan di sejumlah dompet berbasis account abstraction.

Kelima. Multisig dengan akses terdistribusi. Buat multisig 2-dari-3, di mana satu kunci ada pada Anda, kunci kedua pada pasangan/mitra Anda, dan kunci ketiga pada pengacara. Anda mengelola dompet dengan dua kunci pertama, dan dalam situasi darurat, pasangan dan pengacara dapat mengakses dompet bersama-sama.

Bagian XIV. Tanya Jawab: Jawaban Ahli atas Pertanyaan Utama Pembaca

Bisakah Bitcoin Dicuri dengan Meretas Blockchain?

Robert Stanley: Tidak. Blockchain Bitcoin belum pernah diretas dalam 16+ tahun keberadaannya. Semua pencurian Bitcoin adalah pencurian kunci, bukan peretasan protokol. Blockchain adalah benteng yang tidak bisa ditembus. Kunci adalah gembok di pintu rumah Anda — yang bisa dipetik, dicuri, atau Anda bisa ditipu untuk menyerahkannya sendiri.

Mana yang Lebih Aman — Ledger atau Trezor?

Robert Stanley: Keduanya adalah pilihan yang sangat baik, dan keduanya jauh lebih aman dibandingkan menyimpan aset di bursa atau di dompet panas. Perbedaan utamanya: Trezor bersifat open-source (kode terbuka untuk verifikasi independen). Ledger bersifat closed-source (kode tertutup), namun menggunakan chip keamanan yang tersertifikasi. Untuk sebagian besar pengguna, keduanya lebih dari cukup. Pilihlah berdasarkan kenyamanan, harga, dan dukungan koin yang Anda butuhkan.

Benarkah Monero Tidak Bisa Dilacak?

Robert Stanley: Monero jauh lebih sulit dilacak dibandingkan Bitcoin atau Ethereum, berkat ring signatures, stealth addresses, dan confidential transactions. Namun "tidak mungkin dilacak" adalah pernyataan yang terlalu kuat. Titik masuk dan keluar (pertukaran ke mata uang lain) menciptakan kerentanan. Para peneliti terus mengembangkan metode de-anonimisasi statistik. Dalam praktiknya, Monero adalah hambatan serius bagi penyelidikan, tetapi bukan yang tidak bisa diatasi — terutama jika pengguna membuat kesalahan.

Apakah Saya Perlu Dompet Perangkat Keras Jika Kripto Saya Hanya $500?

Robert Stanley: Tidak wajib, namun bermanfaat. Tangem seharga $55 — itu hanya 11% dari $500 Anda. Jika Anda berencana untuk mengembangkan portofolio, ada baiknya memulai dengan kebiasaan yang benar. Jika $500 adalah batas maksimal Anda dan Anda tidak berencana untuk menambah — Anda bisa menggunakan dompet panas yang bagus (MetaMask, Trust Wallet) dengan kata sandi yang kuat dan 2FA.

Apa yang Harus Dilakukan Jika Saya Menandatangani Transaksi Berbahaya?

Robert Stanley: Segera: periksa approval apa yang telah Anda berikan melalui revoke.cash dan cabut semuanya. Pindahkan semua sisa dana ke dompet baru yang bersih. Jika dana sudah terkuras — ikuti protokol: catat hash transaksi, hubungi bursa, forensik, dan laporkan ke polisi.

Bagaimana Cara Memastikan Situs DeFi yang Saya Kunjungi Asli dan Bukan Phishing?

Robert Stanley: Beberapa langkah pemeriksaan: gunakan bookmark untuk situs yang sering dikunjungi (jangan googling setiap kali — iklan bisa berisi tautan phishing). Periksa sertifikat SSL. Bandingkan URL karakter demi karakter. Gunakan ekstensi seperti MetaMask Snaps atau Pocket Universe yang memperingatkan tentang situs mencurigakan. Jika ragu — verifikasi tautannya di Discord atau Twitter resmi proyek tersebut.

Bisakah Aset Kripto Diasuransikan?

Robert Stanley: Ya, ini adalah bidang yang sedang berkembang. Protokol asuransi terdesentralisasi (Nexus Mutual, InsurAce, Unslashed) menawarkan perlindungan terhadap risiko peretasan smart contract. Biayanya biasanya 2–10% dari jumlah yang diasuransikan per tahun. Pilihan terpusat: dana SAFU di Binance, asuransi dari beberapa kustodian. Pelaku institusional menggunakan asuransi tradisional melalui Lloyd's of London dan perusahaan asuransi khusus.

Bagaimana Cara Mengetahui Bahwa Sebuah Token adalah Scam (Honeypot)?

Robert Stanley: Periksa kontrak token melalui Token Sniffer atau GoPlusLabs. Tanda-tanda bahaya: tidak bisa menjual token, fungsi mint tersembunyi (pencetakan token baru dari nol), pajak penjualan yang tinggi (hidden tax), likuiditas tidak dikunci (LP unlocked), tim anonim tanpa rekam jejak. Jika setidaknya dua dari tanda-tanda ini hadir — jauhilah.

Saya Ditawari "Imbal Hasil Terjamin" dalam Kripto. Apakah Ini Penipuan?

Robert Stanley: Dalam 99% kasus — ya. Tidak ada imbal hasil yang "terjamin" dalam dunia kripto. Bahkan staking ETH, yang paling mendekati "suku bunga bebas risiko", tetap membawa risiko slashing dan volatilitas aset dasarnya. Siapa pun yang menjanjikan "keuntungan terjamin 50% per bulan" adalah penipu. Tanpa pengecualian.

Apa itu "Drainer" dan Bagaimana Cara Melindungi Diri Darinya?

Robert Stanley: Drainer adalah smart contract berbahaya yang, saat dompet dihubungkan dan transaksi ditandatangani, secara otomatis menguras semua token dan NFT. Drainer menyebar melalui situs phishing, airdrop palsu, dan server Discord yang terinfeksi. Perlindungan: jangan hubungkan dompet ke situs yang tidak dikenal, gunakan dompet "kosong" khusus untuk berinteraksi dengan layanan baru, gunakan ekstensi pelindung (Pocket Universe, Wallet Guard).

Bagaimana Cara Kerja Pencucian Kripto yang Dicuri?

Robert Stanley: Skema yang umum: setelah pencurian, dana segera dipecah ke puluhan hingga ratusan alamat. Sebagian kemudian melewati mixer (Tornado Cash, ChipMixer). Sebagian dikonversi melalui DEX ke token lain. Sebagian dipindahkan melalui bridge ke blockchain lain. Jumlah akhir masuk ke CEX atau OTC desk untuk ditukar ke mata uang fiat. Menurut data TRM Labs, peretas Korea Utara sebagian besar menggunakan layanan berbahasa Tionghoa untuk pencucian, dengan siklus khas sekitar 45 hari dari pencurian hingga pencairan.

Kesimpulan: Poin-Poin Utama dan Rekomendasi

Alexander Mercer: Robert, mari kita simpulkan. Apa hal terpenting yang harus dibawa pulang oleh pembaca kita?

Robert Stanley: Sepuluh kesimpulan utama dari percakapan kita.

Pertama. Kripto meninggalkan jejak. Blockchain adalah buku besar publik. "Menghilang" sepenuhnya dengan dana yang dicuri sangatlah sulit. Chain forensics adalah industri nyata yang menangkap para penjahat.

Kedua. Skala ancaman terus meningkat. 3,4 miliar dolar dicuri pada tahun 2025. Peretas yang didukung negara, kelompok profesional, penipuan terorganisir — ini bukan "peretas tunggal".

Ketiga. Vektor serangan utama bukan kode, melainkan kunci. 70% pencurian berkaitan dengan kompromi kunci privat dan seed phrase. Melindungi kunci adalah prioritas nomor satu.

Keempat. Dompet perangkat keras adalah kebutuhan, bukan pilihan. Jika Anda memiliki lebih dari $1.000 dalam kripto — belilah dompet perangkat keras. Itu adalah $79 terbaik yang akan Anda keluarkan.

Kelima. Jangan menandatangani sesuatu yang tidak Anda pahami. Setiap transaksi yang ditandatangani adalah potensi vektor serangan. Jika tidak yakin — jangan tandatangani.

Keenam. Kecepatan respons menentukan segalanya. Saat terjadi pencurian, satu jam pertama sangat kritis. Siapkan rencana tindakan dari jauh-jauh hari.

Ketujuh. Diversifikasi penyimpanan. Aturan 5/25/70: 5% di bursa, 25% di dompet panas, 70% di perangkat keras/multisig.

Kedelapan. Seed phrase di atas logam, bukan di cloud. Jangan pernah menyimpan salinan digital seed phrase. Tuliskan di pelat logam, simpan di beberapa lokasi fisik yang berbeda.

Kesembilan. Periksa proyek sebelum berinvestasi. Audit, bug bounty, multisig, timelock, Proof of Reserves — ini adalah persyaratan minimal untuk proyek yang "layak dipercaya".

Kesepuluh. Edukasi adalah perlindungan terbaik. Semakin banyak Anda mengetahui tentang mekanisme serangan, semakin kecil kemungkinan Anda menjadi korban. Itulah mengapa kami menghabiskan empat jam untuk wawancara ini — agar Anda dipersenjatai dengan pengetahuan.

Kata Penutup Redaksi

Percakapan kami dengan Robert Stanley berlangsung lebih dari empat jam, dan setiap menitnya dipenuhi dengan pengetahuan praktis. Kami sengaja membuat materi ini sedetail mungkin, karena dalam hal keamanan aset kripto, pemahaman yang dangkal bisa berujung pada kerugian nyata.

Gagasan utama yang meresap di sepanjang wawancara ini adalah: mata uang kripto sekaligus merupakan kebebasan yang luar biasa dan tanggung jawab yang luar biasa. Tidak ada bank yang akan "membereskan segalanya" di sini. Di sini, Anda sendiri yang menjadi bank, tim keamanan, sekaligus auditor. Dan semakin cepat Anda menerima kenyataan ini — semakin terlindungi aset Anda.

Untuk pembelajaran lebih lanjut, kami merekomendasikan: laporan Chainalysis "Crypto Crime 2025/2026", blog TRM Labs tentang chain forensics, platform Immunefi untuk mempelajari bug bounty, situs revoke.cash untuk memeriksa dan mencabut token approvals, serta materi edukasi dari Binance Academy dan Ledger Academy.

Analitik dari Alexander Mercer dan materi keahlian seputar keamanan siber aset kripto dapat diikuti di portal iTrusty.io.