NEOAcademy
Lv 100
Dasar KeamananPelajaran 5 dari 9

Dompet kripto dan frasa pemulihan

Frasa pemulihan adalah satu rangkaian kata yang mengendalikan seluruh kripto Anda, di dompet apa pun, di perangkat apa pun. Kehilangannya jauh lebih buruk daripada lupa password. Di mana sebaiknya ditulis, dan di mana tidak boleh disimpan.

7 mnt baca4 pertanyaan kuis +1 +10 jika lulus

Di modul Crypto Basics sudah dibahas bahwa dompet pada dasarnya hanya sepasang kunci, yaitu alamat yang Anda bagikan dan private key yang Anda rahasiakan. Pada praktiknya, private key itu hampir tidak pernah Anda sentuh langsung. Yang benar-benar Anda pegang sehari-hari disebut frasa pemulihan, dan topik ini layak dapat satu pelajaran tersendiri karena begitu banyak orang kehilangan uang gara-gara salah menanganinya.

Frasa pemulihan adalah deretan dua belas atau dua puluh empat kata bahasa Inggris biasa yang muncul saat Anda pertama kali menyiapkan dompet. Dari kata-kata itulah dompet menurunkan semua private key yang dibutuhkannya. Kalau ada orang lain yang tahu frasa Anda, dia praktis sudah memegang seluruh isi dompet, di perangkat apa pun, di belahan dunia mana pun. Kalau frasa hilang dan dompetnya juga hilang, uangnya lenyap secara permanen.

Kenapa frasa pemulihan adalah segalanya

Password bank tradisional hanya satu faktor. Bank bisa mereset password. Bank tahu itu Anda dari dokumen identitas. Frasa pemulihan kripto bekerja dengan logika yang berbeda. Tidak ada bank, tidak ada hotline support, tidak ada verifikasi identitas. Frasa itu sendiri yang menjadi bukti kepemilikan. Siapa pun yang memegangnya, dialah pemiliknya. Titik.

Inilah pergeseran pola pikir paling besar dibanding keuangan biasa. Dengan frasa pemulihan:

  • Siapa pun yang sempat melihat frasa itu bisa langsung menguras dompet. Mereka tidak perlu perangkat Anda, tidak perlu HP Anda, tidak perlu wajah Anda.
  • Tidak ada mekanisme untuk "mereset" frasa. Kalau frasanya hilang, dananya tidak bisa dipulihkan.
  • Tidak ada mekanisme untuk "membekukan" dompet kalau orang lain sudah pegang frasanya. Dia akan memindahkan dananya dan urusan selesai.
  • Foto frasa sama bahayanya dengan frasa aslinya. Begitu juga pesan di chat. Begitu juga catatan di aplikasi yang tersinkron ke cloud.

Di mana sebaiknya ditulis

Kertas, ditulis tangan, adalah titik awal yang standar. Lembar bersih, tanpa singkatan, mudah dibaca. Simpan di tempat yang tidak akan basah, tidak gampang hilang, dan tidak akan terbuang tak sengaja. Brankas kecil di rumah ideal. Laci pun bisa, asal Anda tinggal sendirian dan laci itu tidak sering diberesi orang lain.

Begitu dompet sudah berisi lebih dari yang sanggup Anda relakan, naikkan kelasnya dari kertas ke logam. Tepatnya plat baja yang dicap atau diukir. Kertas selamat dari kebanyakan kecelakaan kecil, tapi tidak akan selamat dari kebakaran atau banjir. Plat logam selamat. Ada produk yang memang dirancang untuk ini (Cryptotag, Cryptosteel, Billfodl), tapi plat baja polos plus satu set pukulan angka-dan-huruf juga sudah cukup.

  • Dua belas atau dua puluh empat kata, sesuai urutannya. Urutan itu penting, jangan diacak.
  • Dua salinan, disimpan di dua lokasi fisik yang berbeda. Kalau rumah Anda terbakar bersama satu-satunya salinan, dompetnya ikut hilang.
  • Jangan pernah simpan kata-kata aslinya di perangkat yang terhubung internet.
  • Jangan pernah difoto. Galeri HP dicadangkan, dibagikan, dan diakses oleh banyak hal.

Di mana tidak boleh disimpan

Berikut ini tempat-tempat yang paling sering menjadi titik bocornya frasa pemulihan. Polanya sangat konsisten, jadi daftar ini bisa Anda jadikan checklist "jangan lakukan ini".

  • Foto di HP. HP bisa dicuri, bisa dijual, galeri foto otomatis dicadangkan ke cloud, dan cloud sendiri bisa jebol.
  • Catatan di aplikasi catatan apa pun yang tersinkron ke cloud (iCloud Notes, Google Keep, Notion, Evernote). Kalau akunnya bocor, frasanya ikut bocor.
  • Dokumen di draf email atau chat ke diri sendiri.
  • Screenshot saat proses setup. Sebagian dompet memang mengingatkan soal ini, tapi banyak juga yang tidak.
  • Password manager, kecuali Anda benar-benar paham konsekuensinya. Trade-off kenyamanannya nyata, dan luas serangannya jauh lebih besar daripada kertas.
  • "Agen support" yang katanya butuh frasa untuk "memverifikasi dompet" atau "membantu memulihkan dana". Yang seperti ini selalu penipuan.

Hot wallet dan cold wallet, sekilas

Anda akan sering mendengar dua kategori ini. Soal sisi cold akan kita bahas lebih dalam di pelajaran berikutnya, tapi perbedaan dasarnya sudah perlu dipahami sekarang.

Hot wallet berjalan di perangkat yang terhubung internet, misalnya ekstensi browser, aplikasi mobile, atau aplikasi desktop. Nyaman untuk pemakaian sehari-hari. Tapi ikut terpapar pada apa pun yang membahayakan perangkat Anda, mulai dari malware, situs jahat, sampai ekstensi phishing. Hot wallet cocok untuk jumlah kecil dan pemakaian aktif.

Cold wallet menyimpan private key di perangkat yang sama sekali tidak pernah tersambung ke internet. Bentuknya yang paling umum adalah hardware wallet, yaitu perangkat kecil mirip USB. Cocok untuk jumlah yang tidak perlu Anda utak-atik tiap minggu dan yang kalau hilang sungguh-sungguh akan sakit rasanya.

Pembagian praktis berdasarkan jumlah
  1. Belanja kecil
    hot wallet, akses mudah
  2. Tabungan menengah
    cold wallet, kurang praktis
  3. Simpanan jangka panjang
    cold wallet, jarang disentuh

Anda boleh punya lebih dari satu dompet. Kebanyakan orang yang serius memegang kripto memang begitu. Satu hot wallet untuk saldo "tunai" kecil yang benar-benar dipakai. Satu cold wallet untuk porsi yang disimpan jangka panjang. Nilainya boleh tidak besar. Yang penting prinsip segmentasinya, yaitu satu kesalahan di hot wallet tidak boleh sampai bisa menyapu habis semuanya.

Menyiapkan dompet pertama secara hati-hati

Kalau Anda belum pernah menyiapkan dompet self-custody, versi prosesnya yang hati-hati kira-kira seperti ini:

  • Unduh dompet hanya dari situs resmi atau app store resmi. Jangan klik iklan. Ketik URL-nya, atau cari nama aplikasinya dengan teliti.
  • Saat frasa pemulihan ditampilkan, tulis di kertas, dengan tangan. Baca ulang tiap kata untuk memastikan sudah benar.
  • Verifikasi frasanya saat dompet meminta (biasanya Anda akan diminta mengetik ulang). Jangan pernah men-screenshot frasanya pada tahap mana pun.
  • Saat pertama kali memindahkan kripto ke dompet ini dari bursa atau alamat lain, kirim dulu jumlah uji yang sangat kecil. Pastikan sampai, baru kirim sisanya.
  • Simpan frasa kertas itu offline. Begitu dompetnya berisi jumlah yang kalau hilang akan menyakitkan, mulai pertimbangkan cadangan logam.

Pewarisan dan perencanaan "kalau saya meninggal"

Topik ini biasanya dihindari orang sampai sudah terlambat. Kalau hanya Anda satu-satunya yang tahu di mana frasa pemulihan Anda, lalu terjadi sesuatu pada Anda, keluarga Anda akan kehilangan akses ke dana itu untuk selamanya. Inilah salah satu kategori terbesar kripto yang "hilang".

Anda tidak perlu menuntaskan urusan ini sepenuhnya hari ini. Yang perlu adalah menyadarinya. Langkah pertama yang sederhana yaitu titipkan amplop tertutup berisi petunjuk kepada orang yang Anda percayai (pasangan, orang tua, atau pengacara), sementara frasanya sendiri disimpan di lokasi terpisah yang aman tapi tetap bisa mereka jangkau bila perlu. Untuk pengaturan yang lebih canggih, sudah ada banyak buku dan layanan yang membahasnya. Untuk sekarang, cukup pikirkan dulu sebelum hidup memikirkannya untuk Anda.

Frasa pemulihan adalah seluruh isi dompet. Perlakukan kertasnya persis seperti Anda memperlakukan uang tunainya.

Pelajaran berikutnya masuk ke pertahanan fisik yang paling bisa diandalkan untuk jumlah yang serius, yaitu hardware wallet dan apa yang biasanya dimaksud orang saat menyebut "cold storage".