Praktik Keamanan Terbaik untuk Pengguna Crypto di Bursa Terpusat (CEX)
Premalynn2026-03-17
Artikel ini menyoroti keamanan penting yang disesuaikan untuk pengguna CEX, dengan fokus pada otentikasi dua faktor (2FA), daftar putih penarikan, strategi penyimpanan dingin, dan model ancaman yang komprehensif.
Dalam dunia mata uang kripto yang dinamis saat ini, bursa terpusat (CEX) terus memainkan peran penting dalam perdagangan, staking, dan pemeliharaan aset digital.
Namun, kenyamanan yang ditawarkan juga datang dengan ancaman keamanan yang meningkat seperti phishing, pengambilalihan akun, dan peretasan tingkat bursa, dengan contoh menonjol adalah kerentanan tahun 2025 pada CEX tingkat menengah yang mengakibatkan aset senilai $150 juta dicuri.
Meskipun CEX menginvestasikan sumber daya yang sangat besar dalam keamanan platform seperti penyimpanan dingin (cold storage) untuk 95%+ aset dan audit rutin, pengguna sebagian besar bertanggung jawab untuk mengamankan akun mereka.
Dengan menerapkan langkah-langkah keamanan ini, individu dapat mengelola risiko dalam ekosistem di mana ancaman berkembang pesat, mulai dari serangan phishing yang didukung oleh kecerdasan buatan hingga kerentanan komputasi kuantum.
Autentikasi Dua Faktor (2FA): Garis Pertahanan Pertama
Autentikasi dua faktor telah menjadi keharusan bagi pengguna CEX. Ini telah beralih dari fitur yang direkomendasikan menjadi persyaratan wajib di sebagian besar platform pada tahun 2026. Di luar kata sandi, 2FA menyediakan lapisan verifikasi kedua dengan meminta sesuatu yang Anda ketahui (kata sandi) serta sesuatu yang Anda miliki (perangkat atau aplikasi).
Menurut penelitian keamanan siber, mengaktifkan autentikasi dua faktor mengurangi ancaman penetrasi akun hingga 99% dengan mencegah serangan pengisian kredensial (credential-stuffing) (sebuah proses di mana peretas menggunakan kredensial yang bocor dari pelanggaran sebelumnya). Metode 2FA yang paling aman adalah berbasis aplikasi, dengan aplikasi seperti Google Authenticator atau kunci perangkat keras seperti YubiKey yang menghasilkan kata sandi sekali pakai berbasis waktu (TOTP).
Hindari 2FA berbasis SMS karena kerentanan penukaran SIM (SIM-swapping), yang memungkinkan peretas memperoleh nomor telepon melalui rekayasa sosial terhadap operator (metode yang menyumbang lebih dari 20% pencurian mata uang kripto tahun 2025).
Untuk pengguna tingkat lanjut, token perangkat keras Universal 2nd Factor (U2F) menawarkan autentikasi tahan phishing dengan mengkonfirmasi domain saat login.
Tahap implementasi termasuk mengaktifkan 2FA segera setelah pengaturan akun, menyimpan kode pemulihan di lokasi offline yang aman (tidak di ponsel atau di cloud Anda), dan memantau perangkat terkait secara rutin.
Pada beberapa bursa terpusat, 2FA diperlukan untuk login, perdagangan, dan penarikan, dengan opsi untuk integrasi biometrik pada aplikasi seluler.
Penting juga bagi pengguna untuk mengaktifkan kode anti-phishing, yaitu frasa unik yang ditampilkan dalam email yang sah, untuk membantu mengidentifikasi upaya phishing.
Meskipun efektivitas 2FA, itu tidak menjamin keamanan total, oleh karena itu, penting untuk menggunakannya bersama dengan langkah-langkah lain untuk memastikan keamanan terhadap serangan canggih.
Daftar Putih Penarikan (Withdrawal Whitelists): Mengontrol Arus Keluar Aset
Sebagai tindakan pencegahan terhadap transfer tidak sah, sebagian besar CEX terkemuka telah memperkenalkan fitur daftar putih penarikan.
Fitur ini membatasi penarikan mata uang kripto hanya ke alamat dompet yang telah disetujui sebelumnya dan membantu mencegah peretas menarik dana bahkan setelah mereka mengkompromikan akun. Dalam situasi di mana serangan phishing mengakibatkan lebih dari $1,2 miliar mata uang kripto dicuri tahun lalu, daftar putih terbukti penting dalam mencegah transaksi impulsif atau berbahaya.
Untuk menyiapkan daftar putih, pengguna menambahkan alamat tepercaya (misalnya, dompet perangkat keras pribadi) melalui pengaturan keamanan bursa, seringkali memerlukan konfirmasi 2FA dan periode tunggu 24-48 jam untuk aktivasi guna mencegah serangan yang sensitif terhadap waktu.
Misalnya, LBank memerlukan verifikasi email dan Google Authenticator saat menambahkan alamat ke daftar putih (buku alamat) sambil juga menawarkan kunci penarikan opsional 24 jam (cooldown) pada alamat yang baru ditambahkan saat diaktifkan. Praktik terbaik termasuk hanya memasukkan alamat penyimpanan mandiri (self-custody) ke dalam daftar putih, menghindari yang dibagikan atau dimiliki bursa, dan secara berkala mengaudit daftar untuk relevansi.
Kontrol ini meluas ke penarikan fiat, di mana pengguna dapat memasukkan rekening bank ke daftar putih. Daftar putih diintegrasikan dengan pengaturan multi-tanda tangan (multi-sig) oleh pengguna tingkat lanjut, yang memerlukan beberapa persetujuan untuk modifikasi. Namun, ketergantungan berlebihan pada daftar putih dapat menyebabkan penguncian jika alamat hilang. Oleh karena itu, pengguna harus memelihara cadangan aman detail dompet mereka saat menyiapkan langkah-langkah keamanan.
Daftar putih juga menyediakan lapisan keamanan tambahan yang kuat dengan menerapkan konsep hak istimewa terkecil (least privilege), sehingga meminimalkan kerusakan jika kredensial dikompromikan di masa mendatang.
Penyimpanan Dingin (Cold Storage): Meminimalkan Paparan di Bursa
Penyimpanan dingin mengacu pada penyimpanan mata uang kripto sepenuhnya offline dan jauh dari internet, sehingga membuatnya kurang rentan terhadap serangan peretasan jarak jauh.
Bagi pengguna CEX, ini berarti memperlakukan bursa sebagai hub sementara untuk perdagangan daripada brankas jangka panjang, mentransfer aset ke dompet dingin setelah transaksi. Pelanggaran bursa terpusat terus terjadi meskipun telah menurun 40 persen sejak 2023, berkat protokol yang lebih kuat. Oleh karena itu, para ahli menyarankan untuk tidak menyimpan lebih dari 10 hingga 20 persen kepemilikan di bursa mana pun.
Dompet perangkat keras seperti Ledger Nano X, Tangem, atau Trezor Model T adalah standar emas untuk penyimpanan dingin, menggunakan penandatanganan air-gapped untuk menyetujui transaksi tanpa mengekspos kunci privat secara online.
Pengguna harus membuat seed secara offline, menyimpannya dalam amplop yang tahan rusak atau cadangan logam, dan menghindari foto digital. Saat berinteraksi dengan CEX, gunakan dompet "hanya lihat" (watch-only) untuk memantau saldo tanpa risiko.
Strategi integrasi termasuk menggunakan API CEX untuk transfer otomatis ke penyimpanan dingin setelah perdagangan, atau memanfaatkan dompet multi-sig untuk redundansi tambahan.
Untuk individu dengan kekayaan bersih tinggi, solusi penyimpanan dingin tingkat perusahaan dengan penyebaran geografis mengurangi risiko pencurian fisik.
Selalu pegang mantra: "Bukan kuncimu, bukan kriptomu." Audit rutin, seperti memverifikasi alamat dompet sebelum transfer, mencegah kesalahan seperti mengirim ke jaringan yang salah.
Model Ancaman: Mengidentifikasi dan Mengurangi Risiko
Model ancaman adalah pendekatan yang efisien dan tepat untuk menilai kerentanan potensial yang spesifik untuk pengaturan Anda, membantu memprioritaskan pertahanan.
Untuk pengguna CEX, ancaman umum termasuk phishing (misalnya, halaman login palsu), malware (keylogger pencuri kredensial), serangan orang dalam (karyawan nakal), dan kompromi rantai pasokan (perangkat lunak bursa yang diretas).
Ancaman yang disempurnakan AI, seperti panggilan suara atau video deepfake yang digunakan untuk mendukung penipuan, meningkatkan bahaya ini pada tahun 2026.
Nilai kemungkinan dan dampak setiap ancaman. Akun bernilai tinggi memerlukan langkah-langkah yang lebih ketat seperti menggunakan perangkat khusus untuk aktivitas kripto.
Strategi mitigasi yang efektif termasuk membatasi kunci API, memasang notifikasi waktu nyata untuk memeriksa perilaku akun yang aneh, dan menggunakan VPN saat mengakses Wi-Fi publik.
Pemodelan tingkat lanjut menggabungkan prinsip zero-trust, mengasumsikan pelanggaran dan kontrol berlapis. Menggunakan pengelola kata sandi terkemuka seperti Bitwarden dan perangkat lunak antivirus dengan perlindungan khusus terhadap pembajakan clipboard dan malware yang menargetkan kripto sangat dianjurkan.
Secara rutin memperbarui model seiring berkembangnya ancaman, seperti mempersiapkan risiko kuantum dengan dompet pasca-kuantum.
Praktik Terbaik Tambahan untuk Keamanan Komprehensif
Selain langkah-langkah keamanan yang disebutkan, pengguna harus menggunakan kata sandi yang kuat dan unik yang dihasilkan oleh pengelola, menghindari masuk dengan perangkat publik, mengaktifkan notifikasi login, mendiversifikasi di berbagai bursa untuk menyebarkan risiko, dan berpartisipasi dalam program bug bounty untuk pencarian ancaman proaktif.
Pertahanan rekayasa sosial, seperti memverifikasi URL dan mengabaikan kontak yang tidak diminta, juga krusial, dan terakhir, pertimbangkan opsi asuransi yang ditawarkan oleh beberapa CEX untuk ketenangan pikiran tambahan.
Kesimpulan
Untuk melindungi mata uang kripto di bursa terpusat, diperlukan fokus dan pendekatan multi-lapis. Pengguna dapat secara signifikan mengurangi risiko mereka dalam lanskap ancaman dengan menjadi ahli dalam 2FA, daftar putih, dompet dingin, dan pemodelan ancaman.
Dengan evolusi industri, proses-proses ini tidak hanya melindungi aset tetapi juga memberdayakan partisipasi yang percaya diri dalam ekonomi digital.
