#Web3安全指南

Angka-angka dari 2025 bukanlah statistik abstrak. Hanya di kuartal pertama, lebih dari dua miliar dolar menghilang dari dompet Web3, protokol, dan kontrak pintar. Kebanyakan kerugian tersebut tidak berasal dari eksploitasi kriptografi eksotis atau zero-day tingkat negara. Mereka berasal dari kesalahan yang dapat diprediksi dan diulang yang bisa dicegah dengan kebiasaan yang lebih baik. Panduan ini tentang kebiasaan-kebiasaan tersebut.

Kunci pribadi Anda adalah satu-satunya yang memisahkan Anda dari kerugian total

Web3 memberi Anda kepemilikan sejati atas aset Anda. Pengorbanannya adalah tidak ada bank yang bisa dihubungi, tidak ada tiket dukungan yang bisa diajukan, tidak ada chargeback yang bisa diperdebatkan. Jika seseorang mendapatkan seed phrase atau kunci pribadi Anda, aset tersebut hilang. Permanen. Blockchain tidak peduli dengan niat atau emosi Anda, ia hanya memproses tanda tangan yang valid.

Tidak ada entitas yang sah akan pernah meminta seed phrase Anda. Bukan agen dukungan pelanggan, bukan auditor keamanan, bukan pengembang dari proyek yang Anda gunakan, bukan kontak terpercaya Anda di ruang ini. Saat seseorang meminta, percakapan selesai dan platform yang mereka hubungi harus dianggap telah dikompromikan.

Untuk penyimpanan, apa pun yang terhubung ke internet adalah risiko. Tangkap layar, drive cloud, draf email, aplikasi catatan yang disinkronkan ke server, semuanya pernah menjadi vektor kehilangan. Tuliskan seed phrase Anda di kertas atau ukir di logam, simpan di tempat yang aman secara fisik, dan simpan sepenuhnya offline.

Dompet perangkat keras adalah dasar untuk apa pun yang tidak mampu Anda kehilangan

Dompet ekstensi browser selalu terhubung, selalu terekspos, dan hanya seaman perangkat tempat ia berjalan. Dompet perangkat keras menyimpan kunci pribadi Anda di chip khusus yang tidak pernah menyentuh internet, dan setiap transaksi memerlukan konfirmasi fisik di perangkat itu sendiri. Lapisan fisik ini hampir mematahkan setiap rantai serangan jarak jauh.

Pengaturan praktisnya berlapis. Gunakan dompet perangkat keras untuk kepemilikan utama Anda, aset yang tidak Anda perdagangkan secara aktif. Gunakan dompet hot terpisah untuk interaksi DeFi harian, yang terhubung ke apa pun, dan didanai hanya dengan apa yang benar-benar bersedia Anda hilangkan sepenuhnya. Jaga kedua ini terisolasi sepenuhnya satu sama lain. Jika dompet hot dikuras oleh kontrak phishing, aset utama Anda tetap utuh.

Baca apa yang Anda tanda tangani, setiap saat

Di sinilah kebanyakan orang kehilangan uang dan tidak pernah memahami alasannya. Ketika protokol DeFi meminta Anda menyetujui token atau menandatangani pesan, apa yang sebenarnya tertulis dalam transaksi itu sangat penting.

Persetujuan token adalah mekanisme yang paling disalahgunakan di DeFi. Ketika Anda menyetujui kontrak untuk menghabiskan token Anda, izin itu tetap aktif tanpa batas kecuali Anda mencabutnya. Kontrak jahat yang diberikan izin bisa menguras saldo Anda kapan saja di masa depan, lama setelah Anda lupa bahwa interaksi itu terjadi. Kebiasaan yang harus dibangun adalah memeriksa dan mencabut izin secara rutin menggunakan alat khusus, dan jangan pernah memberikan izin tanpa batas ketika jumlah tertentu sudah cukup.

Gunakan dompet yang menerjemahkan data transaksi mentah ke dalam bahasa yang mudah dipahami sebelum Anda menandatanganinya. Melihat "kontrak ini akan mentransfer semua USDT dari alamat Anda" dengan jelas sangat berbeda dari menatap string hex dan mengklik konfirmasi karena tombolnya berwarna hijau.

Jika Anda tidak memahami apa yang diminta dalam transaksi, jangan menandatanganinya. Perlambat, cari tahu, tanyakan di saluran komunitas yang sah. Biaya beberapa menit tambahan adalah nol. Biaya menandatangani hal yang salah bisa segalanya.

Phishing di 2025 cukup canggih untuk menipu pengguna berpengalaman

Situs web palsu dengan bahasa Inggris yang rusak dan kesalahan visual yang jelas bukan ancaman utama lagi. Serangan yang menyebabkan kerusakan terbesar di 2025 secara teknis sudah matang, sadar konteks, dan dirancang khusus untuk melewati insting orang yang sudah merasa tahu apa yang harus dicari.

Poisoning alamat adalah salah satu metode yang lebih licik. Penyerang mengirimkan transaksi kecil dari alamat dompet yang sangat mirip dengan yang biasa Anda gunakan, mencocokkan beberapa karakter awal dan akhir. Jika Anda pernah menyalin alamat dari riwayat transaksi Anda daripada dari kontak yang disimpan, Anda akan mengirim dana langsung ke penyerang. Seseorang kehilangan hampir lima puluh juta dolar karena teknik ini di 2025. Solusinya sederhana tetapi membutuhkan disiplin: selalu kirim dari buku kontak yang diverifikasi sendiri, jangan dari riwayat transaksi.

Ekstensi browser berbahaya layak mendapat perhatian serius. Ekstensi Chrome bernama ShieldGuard berpura-pura sebagai alat keamanan untuk pengguna crypto, membangun pengikut melalui promosi media sosial, dan diam-diam mengumpulkan data sesi dari setiap platform utama yang dikunjungi korbannya. Ia mengekstrak alamat dompet, memantau sesi pengguna, dan menjalankan kode jarak jauh, semuanya sambil tampil sebagai perlindungan. Pasang sebisa mungkin ekstensi, verifikasi penerbit apa pun yang Anda pasang, dan perlakukan ekstensi apa pun yang meminta izin luas dengan kecurigaan maksimum.

Airdrop palsu memiliki pola yang konsisten. Token yang tidak dikenal muncul di dompet Anda. Sebuah pesan memberi tahu bahwa Anda berhak mengklaim hadiah. Situs klaim meminta Anda menghubungkan dompet dan menyetujui kontrak. Kontrak itu menguras Anda. Aturannya mutlak: jangan berinteraksi dengan token yang tidak Anda cari sendiri, jangan kunjungi tautan yang menjanjikan sesuatu yang tidak Anda daftarkan.

Rekayasa sosial melalui Discord dan Telegram tetap menjadi saluran serangan dengan volume tertinggi. Nama pengguna, gambar profil, dan gaya penulisan dari peniru cukup halus untuk lolos pemeriksaan kasual. Tim proyek nyata tidak mengirim pesan pribadi tanpa diminta dengan tautan. Jika seseorang menghubungi Anda terlebih dahulu dengan peluang, peringatan tentang akun Anda, atau tawaran eksklusif, itu bukan asli.

Kontrak adalah produk. Perlakukan sesuai.

Protokol DeFi hanya sebaik kode dasarnya. Angka APY tinggi, komunitas antusias, dan dukungan dari akun terkenal tidak menjamin kontrak pintar akan tetap solvent minggu depan.

Laporan audit dari perusahaan kredibel adalah dokumen publik. Menemukannya hanya butuh dua menit. Membaca ringkasan eksekutif dan daftar kerentanan yang diidentifikasi memakan waktu lima menit. Protokol tanpa audit, audit dari perusahaan tidak dikenal, atau temuan berisiko tinggi yang belum terselesaikan dalam laporannya tidak seharusnya menyimpan dana yang Anda siapkan untuk hilang.

Selain audit, perhatikan distribusi token. Ketika sekelompok dompet mengendalikan sebagian besar pasokan yang beredar, kondisi untuk keluar secara terkoordinasi sudah ada. Periksa apakah likuiditas terkunci dan berapa lama. Periksa apakah kontrak mengandung fungsi admin yang dapat mentransfer atau membekukan dana pengguna tanpa persetujuan. Tidak satu pun dari sinyal ini otomatis membuatnya tidak dipercaya, tetapi pola-pola tersebut bersama-sama menggambarkan sesuatu yang sebaiknya tidak Anda percayai dengan uang nyata.

Dompet multi-tanda tangan adalah langkah berikutnya untuk melindungi kepemilikan besar

Dompet standar hanya seaman kunci pribadi tunggal yang mengendalikannya. Dompet multi-tanda membutuhkan sejumlah persetujuan independen sebelum transaksi dapat dieksekusi. Dengan pengaturan dua dari tiga, satu kunci yang dikompromikan tidak menyebabkan kehilangan dompet. Penyerang harus mengompromikan dua perangkat atau pemegang kunci secara bersamaan.

Ini bukan konsep pengguna tingkat lanjut. Alatnya sudah matang sehingga pengguna individu dapat mengaturnya dalam satu sore. Bagi siapa pun yang mengelola aset yang mewakili eksposur keuangan yang berarti, biaya pengaturannya sangat kecil dibandingkan perlindungan yang diberikannya.

Data 2025 mengingatkan bahwa alat itu sendiri tidak menciptakan keamanan. Tiga kuartal kerugian terbesar berturut-turut melibatkan infrastruktur dompet multi-tanda tangan di mana keamanan operasional di sekitar pemegang kunci adalah titik kegagalan sebenarnya. Perangkat dari pihak yang menandatangani dikompromikan melalui phishing sebelum transaksi apa pun disiarkan. Perlindungan teknis membutuhkan disiplin operasional agar berfungsi sebagaimana dirancang.

Perangkat dan jaringan Anda adalah bagian dari permukaan serangan

Wi-Fi publik bukan lingkungan yang cocok untuk operasi on-chain apa pun. Paparan yang diperkenalkan oleh jaringan yang tidak dipercaya bukanlah teori.

Malware perampas clipboard diam-diam berada di perangkat yang terinfeksi dan memantau peristiwa salin. Ketika mendeteksi sesuatu yang terlihat seperti alamat dompet, ia mengganti isi clipboard dengan alamat yang dikendalikan penyerang. Anda menempelkan apa yang terlihat benar dan mengirim dana ke orang lain. Lawan dari ini adalah membiasakan diri memverifikasi secara visual alamat lengkap setelah menempel, setiap saat, tanpa pengecualian. Ini melelahkan sampai satu kali menyelamatkan Anda.

Kebersihan browser juga penting. Memiliki profil browser terpisah atau perangkat khusus untuk aktivitas on-chain, tanpa browsing umum, tanpa email, tanpa media sosial, dan dengan ekstensi minimal, secara signifikan mengurangi risiko Anda. Sebagian besar rantai serangan memerlukan beberapa titik kompromi. Menjaga lingkungan penandatanganan tetap bersih menghilangkan beberapa titik tersebut sekaligus.

Dimana informasi Anda berasal sama pentingnya dengan apa yang Anda lakukan dengannya

Hasil mesin pencari dan timeline media sosial bukan tempat yang aman untuk menemukan tautan proyek. Penyerang membeli penempatan iklan untuk kata kunci terkait protokol yang sah dan menjalankan kampanye yang tampak tak berbeda dari yang asli. Beberapa operasi phishing terkenal di 2025 menjangkau korban melalui cara ini.

Bookmark setiap URL resmi yang Anda gunakan. Masukkan langsung dari bookmark Anda sendiri, jangan dari hasil pencarian, jangan dari tautan di posting orang lain. Kebiasaan ini menghilangkan seluruh kategori serangan.

Akun resmi palsu di platform sosial sangat umum. Penyerang membuat akun dengan nama pengguna dan gambar profil yang hampir identik, membalas pengumuman proyek nyata, dan menyisipkan tautan berbahaya ke dalam diskusi yang tampak sah. Balasan tersebut kadang mendapatkan lebih banyak interaksi daripada posting asli, karena interaksi bisa diproduksi. Verifikasi usia akun, riwayat posting sebelumnya, dan cross-reference dengan sumber resmi sebelum menganggap apa pun sebagai otoritatif.

Psikologi urgensi adalah eksploitasi sebenarnya

Kecanggihan teknis serangan Web3 modern memang nyata, tetapi vektor serangan yang paling konsisten tetap manusia. Setiap "airdrop terbatas waktu," setiap "dompet Anda akan dikunci dalam sepuluh menit," setiap "bertindak sekarang sebelum slot penuh" adalah mekanisme yang dirancang untuk membuat Anda melewatkan langkah verifikasi yang seharusnya Anda lakukan.

Kesempatan asli tidak kedaluwarsa dalam lima menit. Protokol yang sah tidak mengancam akan menutup akun Anda jika Anda tidak menandatangani sesuatu segera. Situasi apa pun yang menciptakan tekanan untuk bertindak sebelum berpikir, secara desain, berusaha membuat Anda berpikir lebih sedikit.

Praktik keamanan paling berharga di Web3 juga yang paling sederhana: berhenti sebelum menandatangani, tutup tab jika ada yang terasa dipaksakan, dan masuk kembali melalui sumber yang terverifikasi sebelum melakukan apa pun dengan taruhan nyata. Istirahat itu gratis. Perlindungan yang diberikannya tidak.