Lanskap Ancaman
Memahami apa yang Anda lindungi membantu Anda memprioritaskan:
Kompromi akun: Penyerang mendapatkan akses ke akun exchange Anda melalui password yang dicuri, phishing, atau session hijacking. Mereka menarik dana Anda.
Serangan SIM swap: Penyerang membujuk operator seluler Anda untuk mentransfer nomor telepon Anda ke kartu SIM mereka. Mereka kemudian mengatur ulang password akun Anda dan menonaktifkan SMS 2FA.
Phishing: Email palsu, website, atau pesan yang membodohi Anda memasukkan kredensial Anda di situs penipuan, atau menyetujui transaksi berbahaya.
Malware: Keylogger, clipboard hijacker, atau ekstensi browser mencuri kredensial atau mengganti alamat wallet yang disalin dengan alamat penyerang.
Social engineering: Penyerang menyamar sebagai staf dukungan exchange, proyek cryptocurrency, atau pihak terpercaya lainnya untuk memanipulasi Anda mengungkapkan informasi atau mengirim dana.
Vektor serangan paling umum bukan peretasan teknis yang canggih — melainkan mengeksploitasi perilaku pengguna: password lemah, SMS 2FA, link phishing, atau kredensial yang digunakan kembali dari website yang diretas.
Langkah 1: Aktifkan Autentikasi Dua Faktor (Jenis yang Tepat)
Autentikasi dua faktor (2FA) menambahkan lapisan verifikasi kedua di luar password Anda. Namun tidak semua 2FA sama.
Aplikasi Autentikasi TOTP (Direkomendasikan)
Aplikasi Time-based One-Time Password (TOTP) menghasilkan kode 6 digit yang berubah setiap 30 detik. Kode-kode ini dihasilkan secara lokal di perangkat Anda dan tidak pernah dikirimkan melalui jaringan, sehingga tahan terhadap intersepsi.
Aplikasi yang direkomendasikan:
Cara mengaktifkan di sebagian besar exchange:
- Buka Account > Security > Two-Factor Authentication
- Pilih “Authenticator App” (bukan SMS)
- Pindai kode QR dengan aplikasi authenticator Anda
- Masukkan kode 6 digit untuk memverifikasi setup
Kunci backup sangat penting. Jika Anda kehilangan ponsel, kunci backup memungkinkan Anda memulihkan kode 2FA Anda. Tanpanya, memulihkan akses ke akun Anda memerlukan verifikasi identitas dengan tim dukungan exchange — proses yang lambat dan membosankan.
SMS 2FA (Tidak Direkomendasikan)
SMS 2FA mengirim kode ke ponsel Anda melalui pesan teks. Ini terlihat aman, tetapi rentan terhadap serangan SIM swap di mana penyerang memindahkan nomor Anda.
Serangan SIM swap sangat mudah dilakukan. Penyerang menelepon operator seluler dengan informasi pribadi dasar (sering dibeli dari data broker atau diperoleh melalui media sosial) dan berhasil memindahkan nomor telepon dengan frekuensi yang mengkhawatirkan. Setelah mereka memiliki nomor Anda, mereka dapat mengatur ulang password dan melewati SMS 2FA.
Jika exchange hanya menawarkan SMS 2FA, terimalah itu lebih baik daripada tidak ada. Tetapi jika Anda memiliki pilihan, selalu gunakan aplikasi authenticator.
Kunci Keamanan Hardware (Lanjutan)
Kunci keamanan fisik (YubiKey, Google Titan Key) menyediakan 2FA terkuat yang tersedia. Mencolokkan kunci dan mengetuknya menyelesaikan autentikasi — tidak ada kode untuk diintersepsi. Didukung di Coinbase, Gemini, dan beberapa exchange lainnya. Sangat direkomendasikan untuk portfolio besar.
Langkah 2: Gunakan Password yang Kuat dan Unik
Password exchange Anda harus:
Setiap tahun, miliaran kombinasi nama pengguna/password dari website yang diretas diperdagangkan secara online. Jika password exchange Anda sama dengan email, layanan streaming, atau akun lain apa pun, dan salah satunya diretas, akun exchange Anda akan dikompromikan secara otomatis melalui “credential stuffing”.
Gunakan Password Manager
Password manager (Bitwarden, 1Password, Dashlane) menghasilkan dan menyimpan password acak unik untuk setiap situs. Anda mengingat satu password master; manager menangani semuanya.
Bitwarden adalah open-source, gratis untuk penggunaan pribadi, dan telah diaudit secara independen. Ini adalah titik awal yang sangat baik.
Setelah mengatur password manager:
- Hasilkan password acak baru untuk akun exchange Anda
- Perbarui password exchange
- Pastikan akun email Anda juga memiliki password yang kuat dan unik — ini adalah kunci pemulihan untuk segalanya
Langkah 3: Amankan Akun Email Anda
Akun email Anda adalah kunci master untuk semua akun exchange Anda. Reset password, konfirmasi penarikan, dan pemberitahuan keamanan semuanya melalui email. Jika penyerang memiliki email Anda, mereka dapat mengakses exchange Anda.
Amankan email Anda dengan:
- Password yang kuat dan unik (melalui password manager)
- Aplikasi authenticator untuk 2FA (bukan SMS)
- Opsi pemulihan yang tidak menunjuk kembali ke akun yang rentan atau nomor telepon
Gunakan alamat email khusus untuk akun crypto — terpisah dari email sehari-hari Anda. Ini mengurangi eksposur phishing (Anda tahu bahwa email apa pun yang terkait crypto ke alamat utama Anda adalah mencurigakan) dan mengisolasi aktivitas crypto Anda.
Langkah 4: Aktifkan Whitelisting Alamat Penarikan
Sebagian besar exchange utama menawarkan fitur whitelist alamat penarikan. Ketika diaktifkan, akun Anda hanya dapat mengirim crypto ke alamat yang telah Anda setujui sebelumnya. Menambahkan alamat baru memerlukan:
- Konfirmasi melalui email
- Periode tunggu wajib (biasanya 24–48 jam)
Ini adalah lapisan keamanan yang sangat kuat. Bahkan jika penyerang sepenuhnya mengkompromikan akun Anda, mereka tidak dapat menarik dana sampai mereka juga mengakses email Anda dan menunggu periode cooling-off — memberi Anda waktu untuk mendeteksi pelanggaran dan mengunci mereka.
Aktifkan di Binance: Account > Security > Withdrawal Address Management > Enable Whitelist
Aktifkan di Coinbase: Settings > Security > Allowlisted Addresses
Aktifkan di Kraken: Account > Security > Global Settings Lock (menyediakan perlindungan serupa)
Langkah 5: Tetapkan Kode Anti-Phishing (Binance)
Binance menawarkan fitur kode anti-phishing yang unik untuk platform tersebut. Anda menetapkan frasa khusus pendek, dan setiap email Binance yang sah menyertakannya. Jika Anda menerima email bermerek Binance tanpa kode Anda, itu adalah upaya phishing.
Tetapkan di: Account > Security > Advanced Security > Anti-Phishing Code
Untuk exchange lain tanpa fitur ini, secara mental verifikasi setiap email dengan memeriksa: Apakah saya mengharapkan email ini? Apakah alamat pengirim cocok dengan domain resmi exchange persis? Apakah link menuju ke domain resmi?
Langkah 6: Kelola Batas Penarikan dan Kunci API
Batas Penarikan
Beberapa exchange memungkinkan Anda menetapkan batas penarikan harian maksimal pribadi yang lebih rendah dari default exchange. Ini membatasi kerusakan dari akun yang dikompromikan. Tetapkan ini ke tingkat yang sesuai dengan aktivitas tipikal Anda.
Keamanan Kunci API
Jika Anda menggunakan bot perdagangan, pelacak portfolio, atau alat pihak ketiga apa pun yang terhubung melalui API:
- Buat kunci API terpisah untuk setiap aplikasi
- Jangan pernah berikan izin penarikan ke kunci API yang digunakan oleh layanan pihak ketiga — izin read-only dan trading-only sudah cukup untuk sebagian besar kasus penggunaan
- Tinjau dan hapus kunci API yang tidak digunakan secara teratur
- Jangan pernah bagikan kunci API di tiket dukungan apa pun, pesan Discord, atau formulir
Kunci API dengan izin penarikan sama berbahayanya dengan kredensial akun. Penyerang dengan kunci API yang diaktifkan penarikan dapat menguras akun Anda tanpa memerlukan password atau 2FA Anda.
Langkah 7: Jangan Tinggalkan Dana di Exchange Jangka Panjang
Exchange adalah target. Setiap exchange utama telah mengalami beberapa bentuk insiden keamanan — hack, pencurian insider, kegagalan teknis, atau penyitaan peraturan. Sejarah crypto dipenuhi dengan kegagalan exchange: Mt. Gox (850.000 BTC, 2014), FTX ($8 miliar, 2022), hack Bitfinex (2016, sebagian pulih), Cryptopia, QuadrigaCX.
Aturannya: Hanya simpan di exchange apa yang Anda butuhkan secara aktif untuk perdagangan. Tabungan jangka panjang harus dalam self-custody.
Self-custody berarti memegang crypto di dompet tempat Anda mengendalikan kunci privat:
“Not your keys, not your coins” adalah prinsip dasar Bitcoin dan tetap relevan untuk kepemilikan cryptocurrency yang signifikan.
Langkah 8: Kenali dan Hindari Phishing
Phishing adalah cara paling umum akun exchange dikompromikan. Penyerang membuat email dan website exchange palsu yang meyakinkan untuk mencuri kredensial.
Bendera Merah dalam Email
- Urgensi atau ketakutan: “Akun Anda akan ditangguhkan dalam 24 jam”
- Salam umum: “Dear customer” bukan nama Anda
- Alamat pengirim mencurigakan: binance-security@gmail.com bukan @binance.com
- Link yang tidak menuju ke domain resmi
- Permintaan untuk seed phrase, password, atau kode 2FA Anda (exchange tidak pernah meminta ini)
Kebiasaan Penjelajahan Aman
- Verifikasi URL di bilah alamat browser sebelum memasukkan kredensial
- Aktifkan perlindungan phishing browser Anda
- Gunakan kunci keamanan hardware jika tersedia — situs phishing tidak dapat menggunakannya bahkan jika Anda secara tidak sengaja masuk
Strategi Penyimpanan Dingin untuk Jumlah Besar
Untuk kepemilikan signifikan (apa pun yang akan membuat Anda sedih jika hilang), rekomendasi standar adalah:
Daftar Periksa Keamanan Cepat
- [ ] Authenticator app 2FA diaktifkan (bukan SMS)
- [ ] Password yang kuat dan unik (melalui password manager)
- [ ] Alamat email khusus untuk crypto
- [ ] Whitelist alamat penarikan diaktifkan
- [ ] Kode anti-phishing diatur (pengguna Binance)
- [ ] Kunci API diaudit — izin penarikan dibatalkan dari semua aplikasi pihak ketiga
- [ ] Exchange ditandai — jangan pernah gunakan link email
- [ ] Kepemilikan jangka panjang dipindahkan ke dompet hardware
Pertanyaan yang Sering Diajukan
Metode 2FA mana yang paling aman?
Kunci keamanan hardware (YubiKey) adalah yang paling aman, diikuti oleh aplikasi authenticator TOTP (Google Authenticator, Authy). SMS 2FA lebih baik daripada tidak ada tetapi rentan terhadap serangan SIM swap. Gunakan aplikasi authenticator minimal.
Apa yang harus saya lakukan jika akun saya dikompromikan?
Bertindak segera: hubungi tim dukungan exchange untuk membekukan akun Anda. Ubah password email Anda. Tinjau perangkat yang terhubung dan cabut sesi apa pun yang tidak Anda kenal. Laporkan kepada otoritas lokal jika dana dicuri. Semakin cepat Anda bertindak, semakin baik kesempatan membatasi kerugian atau menangkap penyerang.
Apakah aman menggunakan exchange yang sama selama bertahun-tahun?
Menggunakan exchange terkemuka dan teregulasi (Coinbase, Kraken, Gemini) selama bertahun-tahun adalah hal yang umum. Risikonya biasanya bukan umur panjang exchange — tetapi keamanan akun pribadi Anda. Pertahankan praktik keamanan yang kuat selamanya.
Bagaimana saya menyimpan seed phrase saya dengan aman?
Tuliskan di atas kertas menggunakan pena (bukan pensil, yang memudar). Simpan di beberapa lokasi fisik — brankas rumah dan kotak deposit keselamatan, misalnya. Jangan pernah ambil foto. Jangan pernah simpan di penyimpanan cloud, email, atau perangkat yang terhubung internet. Pelat backup logam (seperti Cryptosteel) memberikan perlindungan terhadap kerusakan api dan air.
Bisakah exchange membekukan dana saya?
Ya. Exchange yang diatur dapat membekukan akun untuk tinjauan kepatuhan, kecurigaan penipuan, atau perintah hukum. Ini adalah risiko menggunakan exchange custodial dan salah satu alasan pemegang jangka panjang lebih memilih self-custody untuk jumlah yang signifikan.
Panduan terkait:
