Panduan Keamanan Aset Tahun Baru Imlek: Saat Mengunjungi Keluarga dan Teman untuk Bersantai, Bagaimana Melindungi Token Anda?

Tulisan oleh: imToken

Mendekati Tahun Baru Imlek, saatnya mengucapkan selamat tinggal pada yang lama dan menyambut yang baru, serta momen untuk melakukan tinjauan kembali:

Tahun lalu, apakah Anda pernah terjebak dalam proyek Rug Pull yang kabur? Apakah Anda membeli karena didorong oleh promosi dari KOL yang mengajak “beli langsung dan siap dipasang”? Atau mengalami serangan phishing yang semakin marak, akibat salah klik tautan atau salah tanda tangan kontrak sehingga menimbulkan kerugian?

Secara objektif, Tahun Baru Imlek sendiri tidak menciptakan risiko, tetapi sangat mungkin memperbesar risiko—ketika arus dana meningkat, perhatian terbagi karena acara festival, dan ritme transaksi menjadi lebih cepat, setiap kesalahan kecil lebih mudah diperbesar menjadi kerugian.

Oleh karena itu, jika Anda berencana menyesuaikan posisi atau mengatur dana menjelang liburan, tidak ada salahnya melakukan “cek keamanan sebelum festival” pada dompet Anda. Artikel ini juga akan membahas beberapa skenario risiko nyata dan umum, serta langkah-langkah konkret yang bisa dilakukan pengguna biasa.

1. Waspadai Penipuan “AI Face Swap” dan Simulasi Suara

Baru-baru ini, SeeDance 2.0 yang sedang viral kembali menyadarkan kita bahwa di era percepatan AGI, “melihat adalah percaya” mulai tidak berlaku lagi.

Bisa dikatakan, mulai tahun 2025, teknologi penipuan video dan suara berbasis AI sudah sangat matang, termasuk kloning suara, penggantian wajah di video, imitasi ekspresi secara real-time, dan simulasi intonasi suara, semuanya memasuki tahap “industri” yang rendah biaya dan dapat diduplikasi secara massal.

Faktanya, dengan AI saat ini, bahkan sudah bisa secara akurat mereproduksi suara, kecepatan bicara, kebiasaan berhenti, bahkan micro-expressions seseorang. Ini berarti selama Tahun Baru Imlek, risiko ini sangat rentan untuk diperbesar.

Misalnya, saat Anda dalam perjalanan pulang ke kampung halaman, atau sedang berkumpul bersama keluarga dan teman, muncul pesan dari kontak di Telegram atau WeChat, berisi suara atau video dengan nada mendesak, mengklaim akun dibatasi, dana darurat, atau permintaan pinjaman kecil, lalu meminta Anda segera transfer.

Suara terdengar alami, bahkan video menampilkan “orang nyata”, dan saat perhatian Anda terbagi karena acara festival, bagaimana Anda bisa memastikan keasliannya?

Dulu, verifikasi identitas melalui video adalah cara paling andal, tetapi hari ini, meskipun lawan bicara menyalakan kamera dan berbicara, tidak lagi 100% dapat dipercaya.

Dalam konteks ini, hanya mengandalkan melihat video atau mendengar suara sudah tidak cukup untuk verifikasi. Cara yang lebih aman adalah membangun mekanisme verifikasi terpisah dari komunikasi online dengan orang-orang terdekat (keluarga, mitra, rekan kerja jangka panjang), misalnya dengan kode rahasia offline yang hanya diketahui kedua belah pihak, atau detail yang tidak bisa ditebak dari informasi publik.

Selain itu, kita juga harus meninjau kembali risiko umum yang berasal dari tautan yang dikirim oleh orang yang dikenal. Biasanya, selama festival, “red envelope” di blockchain atau “airdrop” bisa menjadi pintu masuk penyebaran virus di komunitas Web3. Banyak orang tidak tertipu oleh orang asing, tetapi karena percaya pada orang yang dikenal, mereka mengklik halaman otorisasi yang dipalsukan dengan cermat.

Oleh karena itu, ingatlah prinsip sederhana namun sangat penting: Jangan klik tautan dari sumber tidak dikenal di platform sosial, dan jangan berikan otorisasi apapun, bahkan jika berasal dari “orang dikenal”.

Semua operasi di blockchain sebaiknya dilakukan melalui saluran resmi, simpan URL resmi, atau akses dari portal terpercaya, bukan melalui chat langsung.

2. Lakukan “Pembersihan Dompet Tahunan”

Kalau risiko pertama berasal dari kepercayaan yang dipalsukan secara teknologi, risiko kedua berasal dari eksposur risiko tersembunyi yang telah terkumpul lama di dompet kita sendiri.

Diketahui, otorisasi adalah mekanisme dasar dan paling sering diabaikan di dunia DeFi. Saat Anda melakukan transaksi di sebuah DApp, sebenarnya Anda memberi kontrak hak pengelolaan token. Hak ini bisa bersifat sekali pakai, atau tanpa batas, bersifat jangka pendek, atau tetap berlaku meskipun Anda sudah lupa keberadaannya.

Pada dasarnya, ini bukan risiko langsung yang akan langsung menyebabkan kerugian, tetapi merupakan risiko yang terus ada. Banyak pengguna beranggapan, selama aset tidak disimpan di kontrak, tidak ada masalah keamanan. Tapi selama siklus pasar bullish, mereka sering mencoba berbagai protokol baru, mengikuti airdrop, staking, mining, dan interaksi di chain, sehingga catatan otorisasi terus bertambah. Setelah hype mereda dan protokol tidak lagi digunakan, hak akses tetap ada.

Seiring waktu, otorisasi lama ini seperti kunci yang tidak pernah dibersihkan. Jika suatu saat protokol tersebut mengalami celah kontrak, risiko kerugian sangat besar.

Tahun Baru Imlek adalah waktu yang tepat untuk melakukan pembersihan ini. Manfaatkan waktu yang relatif tenang sebelum festival untuk secara sistematis memeriksa dan mengelola catatan otorisasi Anda:

• Batalkan otorisasi yang sudah tidak digunakan, terutama yang bersifat unlimited.
• Untuk aset besar yang Anda miliki secara rutin, gunakan batasan otorisasi, bukan izin penuh jangka panjang.
• Pisahkan pengelolaan aset jangka panjang dan operasional, misalnya dengan struktur hot wallet dan cold wallet.

Dulu, banyak pengguna harus menggunakan alat eksternal seperti revoke.cash untuk melakukan pemeriksaan ini. Sekarang, dompet Web3 utama seperti imToken sudah dilengkapi fitur deteksi dan pencabutan otorisasi secara langsung di dalam dompet.

Intinya, keamanan dompet bukan soal selalu tidak memberi otorisasi, tetapi mengikuti prinsip hak minimum—berikan izin yang benar-benar diperlukan saat ini, dan tarik kembali saat sudah tidak diperlukan.

3. Jangan Lengah dalam Perjalanan, Sosialisasi, dan Operasi Harian

Kalau dua risiko sebelumnya berasal dari peningkatan teknologi dan akumulasi hak akses, risiko ketiga muncul dari perubahan lingkungan.

Perjalanan selama liburan (pulang ke kampung, berwisata, berkumpul) biasanya melibatkan pergantian perangkat, jaringan yang kompleks, dan keramaian sosial. Dalam kondisi ini, manajemen kunci pribadi dan operasi harian menjadi lebih rentan.

Contoh paling umum adalah pengelolaan seed phrase. Menyimpan screenshot seed phrase di galeri ponsel, cloud, atau mengirimkannya melalui pesan instan demi kemudahan, sebenarnya sangat berisiko.

Ingatlah, seed phrase harus disimpan secara fisik dan terisolasi dari jaringan, dan kunci pribadi harus dijaga dari koneksi internet.

Dalam situasi sosial, perlu juga menjaga batasan. Saat berkumpul, menampilkan saldo besar atau membahas posisi tertentu secara terbuka bisa tanpa sengaja menimbulkan risiko. Lebih berhati-hati lagi, jangan mengikuti ajakan “berbagi pengalaman” atau “mengajar” yang berujung mengunduh aplikasi atau plugin wallet palsu.

Semua pengunduhan dan pembaruan wallet harus dilakukan melalui saluran resmi, bukan dari chat sosial.

Selain itu, sebelum melakukan transfer, pastikan tiga hal: jaringan, alamat, dan jumlah. Banyak kasus kerugian besar karena whale salah kirim karena alamat yang mirip. Serangan phishing ini juga semakin berkembang dalam setengah tahun terakhir:

Peretas sering membuat banyak alamat berbeda dengan pola tertentu, lalu menyimpan di database. Jika ada transaksi masuk ke salah satu alamat, mereka akan mencari alamat dengan pola yang sama di database, lalu melakukan transfer terkait secara otomatis, menunggu korban tertipu.

Seringkali, pengguna hanya menyalin alamat dari riwayat transaksi dan memeriksa beberapa karakter terakhir, sehingga rentan. Menurut pendiri SlowMist, Yuanzhi, serangan phishing berdasarkan pola alamat ini adalah “permainan jaring laba-laba, yang memancing korban untuk tertangkap, permainan peluang.”

Karena biaya Gas yang sangat rendah, pelaku bisa melakukan serangan massal dengan ratusan bahkan ribuan alamat, menunggu beberapa pengguna melakukan kesalahan saat menyalin alamat. Sekali berhasil, keuntungan jauh melebihi biaya.

Semua ini bukan soal teknologi yang rumit, tetapi kebiasaan operasi harian:

• Periksa seluruh karakter alamat secara lengkap, jangan hanya bagian awal dan akhir;
• Jangan langsung salin alamat dari riwayat tanpa verifikasi;
• Saat pertama kali mengirim ke alamat baru, lakukan transaksi kecil sebagai uji coba;
• Prioritaskan fitur whitelist untuk mengelola alamat yang sering digunakan.

Dalam sistem yang mayoritas menggunakan akun EOA (Externally Owned Account), pengguna adalah garis pertahanan pertama dan terakhir (baca juga “Pajak Akun sebesar 3,35 Miliar Dolar: Ketika EOA Menjadi Biaya Sistemik, Apa yang Bisa Dibawa oleh AA untuk Web3?”).

Penutup

Banyak orang merasa dunia di blockchain terlalu berbahaya dan tidak ramah bagi pengguna biasa.

Sejujurnya, Web3 memang sulit menyediakan dunia tanpa risiko, tetapi bisa menjadi lingkungan yang risiko-risikonya dapat dikelola.

Misalnya, Tahun Baru Imlek adalah waktu yang tepat untuk memperlambat ritme dan menata ulang risiko. Daripada melakukan operasi terburu-buru saat liburan, lebih baik melakukan pemeriksaan keamanan sebelumnya; daripada memperbaiki setelah kejadian, lebih baik mengoptimalkan izin dan kebiasaan sejak awal.

Semoga semua orang menjalani Tahun Baru dengan aman dan lancar, serta aset di blockchain tetap stabil dan tanpa masalah di tahun yang baru.