Sebagian besar wallet crypto yang kehilangan dana bukan karena hacker jenius tetapi karena pemiliknya salah menyimpan seed phrase atau salah klik website palsu. Jika seseorang memiliki seed phrase atau private key milikmu, maka mereka memiliki seluruh aset di dalam wallet tersebut. MetaMask dan Ledger sama-sama memperingatkan bahwa:
Siapa pun yang memiliki recovery phrase dapat memindahkan seluruh crypto tanpa izin pemilik.
Karena itu, mengamankan wallet bukan soal aplikasi tapi cara kamu menyimpan dan menggunakannya. Berikut ini adalah 5 cara paling penting agar dompet crypto kamu tidak bisa dibobol.
1. Simpan Seed Phrase Secara Fisik (Offline)
Seed phrase adalah kunci utama dompet crypto kamu. Siapa pun yang memilikinya bisa menguras seluruh isi wallet tanpa perlu password, email, atau verifikasi apa pun. Banyak orang kehilangan crypto bukan karena walletnya di hack, tetapi karena seed phrase mereka:
- Tersimpan Di Google Drive
- Ada di Screenshot HP
- Dikirim Lewat Whatsapp
- Tersimpan Di Email
Begitu satu perangkat atau akun email bocor, seluruh aset langsung hilang. Karena itu, seed phrase tidak boleh pernah berada di perangkat yang terhubung internet.
Cara yang benar:
- Tuliskan seed phrase secara manual di kertas (atau plat logam), lalu simpan di brankas, laci terkunci, atau tempat pribadi yang hanya kamu tahu
- Jika perlu, buat dua salinan fisik dan simpan di lokasi berbeda (misalnya rumah & tempat aman lain).
- Jangan pernah memfoto, mengetik, atau menyimpannya secara digital.
2. Gunakan Dompet Terpisah (Cold Wallet & Hot Wallet
Salah satu kesalahan paling fatal pengguna crypto adalah menaruh semua aset di satu wallet lalu menggunakannya untuk airdrop, mint NFT, website baru, dan link tidak jelas.
Jika wallet itu sekali saja terhubung ke kontrak berbahaya, seluruh saldo bisa disedot. Karena itu, praktik yang benar di dunia Web3 adalah memisahkan wallet berdasarkan fungsi.
- Cold Wallet (Tabungan)
Cold wallet digunakan untuk menyimpan:
- aset jangka panjang
- token bernilai besar
- NFT penting
Cold wallet sebaiknya:
- jarang terhubung ke website
- tidak dipakai untuk airdrop
- tidak dipakai untuk mint atau DeFi
Anggap ini sebagai brankas atau rekening tabungan.
- Hot Wallet (Dompet Aktivitas)
Hot wallet dipakai untuk:
- swap token
- klaim airdrop
- mencoba website baru
- interaksi DeFi
Wallet ini berisiko tinggi karena sering terhubung ke website, memberi izin kontrak dan menandatangani transaksi
Anggap ini seperti dompet uang tunai.
Kenapa ini penting?
Jika suatu hari hot wallet kamu terhubung ke kontrak scam, kena phishing, atau ditarik lewat approval jahat maka hanya hot wallet itu yang habis. Aset utama di cold wallet tetap aman.
3. Waspada Terhadap Link Phising
Di dunia Web3, satu klik yang salah bisa mengosongkan seluruh wallet. Sebagian besar korban crypto tidak diserang secara teknis, mereka hanya mengklik link, menghubungkan wallet, lalu menandatangani transaksi tanpa sadar.
Pelaku phishing biasanya menyamar sebagai website seperti Uniswap, MetaMask, OpenSea; customer support palsu; airdrop atau giveaway. Link mereka terlihat sangat meyakinkan, tapi begitu wallet terhubung, kontrak jahat langsung bekerja.
Cara paling aman:
- Jangan pernah klik link yang dikirim ke kamu. Baik itu dari email, DM Twitter / Discord, Telegram, atau grup crypto
- Selalu ketik alamat website secara manual di browser.
Waspadai tanda bahaya ini:
“Akun kamu akan diblokir”
“Klaim airdrop sekarang”
“Verifikasi wallet segera”
“Hadiah terbatas” - Selalu cek:
ejaan domain (uniswap.org ≠ un1swap.org)
apakah HTTPS aktif
apakah link berasal dari website resmi proyek
Di Web3, tidak ada tombol kembali. Sekali kamu menghubungkan wallet ke website palsu, asetmu bisa hilang dalam hitungan detik.
4. Cek dan Cabut Izin Akses (Revoke Access)
Banyak wallet crypto tidak dicuri karena dihack, tapi karena pemiliknya memberi izin ke smart contract yang salah. Saat kamu swap token, mint NFT, ikut airdrop, atau pakai aplikasi DeFi kamu sering tanpa sadar memberi izin seperti:
“kontrak ini boleh mengambil token saya kapan saja”
Masalahnya izin itu tidak hilang setelah transaksi selesai. Jika suatu kontrak diretas, dijual, atau memang sejak awal berbahaya, maka kontrak itu bisa menguras wallet kamu kapan saja, bahkan tanpa kamu membuka website apa pun.
Inilah yang disebut “Approval Drain”. Dan ini adalah salah satu penyebab paling umum wallet Web3 kosong tiba-tiba.
Yang harus kamu lakukan secara rutin:
- Cek kontrak apa saja yang punya akses ke wallet kamu
- Cabut (revoke) izin yang tidak perlu. Gunakan alat seperti revoke.cash atau fitur “Token Approvals” di Etherscan. Di sana kamu bisa melihat token apa yang punya izin ke kontrak mana dan apakah unlimited atau tidak
- Lalu cabut izin yang tidak kamu kenali. Jika kamu tidak ingat pernah memberi izin, anggap itu berbahaya.
5. Gunakan Autentifikasi Dua Faktor (2FA)
Wallet kamu mungkin aman, tapi exchange dan email kamu adalah pintu masuk terbesar bagi hacker. Banyak orang kehilangan crypto bukan karena wallet nya dihack, tapi karena akun Binance, email, atau akun exchange lain diambil alih.
Begitu email atau akun exchange bocor, penyerang bisa reset password, login, dan menarik semua saldo
Untuk menghindari kebocoran aktifkan 2FA di semua akun penting. Autentikasi dua faktor (2FA) menambahkan lapisan keamanan berupa kode yang berubah setiap 30 detik. Jadi meskipun password bocor, akun tetap tidak bisa diakses tanpa kode tersebut.
Gunakan:
- Google Authenticator, Authy atau aplikasi autentikator lain. Jangan gunakan SMS 2FA. Metode ini rawan SIM-swap, di mana nomor kamu bisa diambil alih oleh penipu.
- Jangan lupa email. Jika email kamu bisa diakses orang lain, mereka bisa reset semua akun crypto kamu. Pastikan email utama exchange dan akun penting lain semuanya memakai 2FA.
- Simpan backup codes. Saat mengaktifkan 2FA, kamu akan diberi kode cadangan. Simpan ini di kertas, di tempat offline terpisah dari ponsel. Jika ponsel hilang dan kamu tidak punya backup code, kamu bisa terkunci dari akunmu sendiri.