“Sekarang semakin sulit untuk membuktikan kalau kamu memang benar-benar dirimu sendiri.” Pernyataan itu, yang diutarakan oleh Federico Variola, CEO Phemex, menggambarkan kekhawatiran yang semakin berkembang di industri aset kripto – dan masalah ini jauh melampaui sekadar kontrak pintar atau bug pada infrastruktur.
Pada diskusi panel baru-baru ini bersama Ian Rogers, Chief Experience Officer di Ledger, serta Dmitry Budorin, co-founder sekaligus CEO perusahaan keamanan siber Hacken, Variola menjelaskan bagaimana ancaman keamanan aset kripto kini semakin nyata. AI memang mengubah alat bantu, tapi titik terlemah tetaplah manusia – cara mereka berkomunikasi, bertindak cepat, dan menentukan siapa yang dipercaya.
Kebanyakan hal ini berhubungan dengan perilaku sehari-hari. Di berbagai exchange dan wallet, semua paham bahwa kebiasaan rutin sangat memengaruhi kejadian keamanan. Menurut Federico Variola, hal ini menjadi alasan utama exchange harus mendesain proses, menambah gesekan, serta mengatur bagaimana orang berinteraksi dengan wallet, platform sosial, dan identitas di on-chain.
Lebih Banyak Nilai, Target yang Lebih Besar
Di awal diskusi, Federico menanggapi pertanyaan yang selalu mengemuka di industri ini: apakah keamanan aset kripto semakin buruk, atau justru para penyerang yang semakin canggih?
Sponsored“Mungkin saja tahun ini menjadi tahun terburuk bagi kejahatan siber, dan tahun depan bakal lebih buruk lagi. Penyebabnya bukan karena kita makin buruk soal keamanan. Tapi sekarang nilainya semakin besar. Kalau ada lebih banyak nilai, hadiah yang bisa didapat makin besar. Kalau hadiahnya makin besar, makin banyak orang tertarik untuk mengambil keuntungan dari situ.”
Seiring perkembangan industri aset kripto, insentif untuk penyerang juga makin meningkat. Variola menyampaikan bahwa situasi seperti ini menciptakan ketidakseimbangan terus-menerus, dengan kemampuan menyerang yang sering tumbuh lebih cepat daripada perlindungan, apalagi saat pasar sedang reli.
“Mungkin sekarang kita berada di masa di mana kemampuan penyerang bertambah lebih cepat daripada perlindungan kita. Dan tiap kali pasar sedang reli, selalu ada orang yang sangat rasional memberikan alasan kenapa harus mengambil jalan pintas soal keamanan, soal self-custody, atau keduanya, dan akhirnya tetap berakhir di tempat yang sama.”
Rogers membagikan contoh sederhana untuk menegaskan hal ini. Bahkan orang yang sudah sangat berpengalaman di bidang aset kripto, termasuk pengembang wallet, pernah juga terkena link mencurigakan yang dibagikan lewat platform seperti Discord atau browser wallet. Ia ingin menunjukkan bahwa pengalaman memang membantu, tapi itu tidak menghilangkan kebutuhan untuk tetap waspada setiap saat.
Ketika Identitas Menjadi Titik Lemah
Bagi Variola, perubahan terbesar ada pada cara serangan dijalankan.
“Para pelaku ini punya dana besar, kadang didukung oleh negara, dan mereka bergerak dengan kecepatan yang sangat sulit untuk dikejar. Di saat yang sama, alat-alat yang kita pakai, seperti AI dan otomatisasi, itu ibarat pedang bermata dua. Kalau kita bisa memanfaatkannya, para penyerang juga bisa. Serangan sosial jadi makin rumit. Orang-orang sudah menggunakan wajah saya di panggilan video untuk mencoba menipu investor atau mitra bisnis.”
Ian Rogers membenarkan hal ini dari sudut pandang wallet hardware, dengan menyoroti bahwa serangan saat ini makin banyak yang memanfaatkan psikologi, bukan teknologi. Variola juga melihat kejadian serupa di exchange: membujuk orang jauh lebih mudah dibanding membobol sistem.
Iain Rogers menyampaikan dalam panel, “siapa saja dari kita bisa saja tertipu.” Bahkan di tim khusus aset kripto, kombinasi rasa familiar, urgensi, dan teknik rekayasa sosial yang cerdik sering kali cukup untuk menembus praktik keamanan yang sudah kuat.
Realitas Exchange: Cold, Hot, dan Human
Dari sudut pandang exchange, Federico membedakan antara jaminan dan anggapan.
“Apa yang kami jamin ke pengguna benar-benar harus tidak bisa diganggu gugat, dan itu adalah cold wallet. Itu tidak bisa ditawar. Hot wallet, dari definisinya saja, sudah berisiko karena selalu terhubung online.”
Ketika aktivitas pasar tinggi, risiko ini jadi makin besar.
Sponsored Sponsored“Saat pasar sedang reli, pengguna ingin hot wallet mereka penuh. Mereka bergerak cepat, membawa nominal besar, apalagi di altcoin. Permintaan mereka sangat tinggi.”
Tekanan seperti ini menciptakan ketegangan. Pengguna mau transaksi cepat dan praktis. Tapi, keamanan sering kali mensyaratkan adanya hambatan.
“Kamu harus menambah lapisan gesekan supaya dana tetap aman, tidak peduli apa permintaan pengguna. Pada akhirnya, kamu harus sedikit ‘melawan’ keinginan dari pengguna sendiri.”
Ini memang kenyataan yang tidak nyaman bagi exchange, tapi menurut Federico, ini tidak bisa dihindari jika platform betul-betul serius menjaga perlindungan jangka panjang, bukan cuma kepuasan sesaat.
Apa yang Bisa Kamu Pelajari dari Pengalaman
Dalam diskusi panel itu, Variola sedikit menyinggung insiden keamanan yang dialami Phemex tahun lalu.
“Salah satu pelajaran terbesar buat kami adalah menyadari kalau ternyata kami jadi target yang lebih besar dari yang kami kira.”
Hal terpenting yang dipetik adalah soal manusia.
“Kami meremehkan betapa banyaknya serangan phishing dan rekayasa sosial, serta bagaimana mereka menyasar bagian paling bawah dari struktur organisasi, seperti magang, desainer, orang-orang yang mengira mereka tidak penting untuk keamanan, lalu naik ke posisi yang lebih penting.”
Dmitry Budorin memberikan analogi sederhana soal pola serangan ini, membandingkan phishing dengan memancing ikan. Meski ikannya tidak mudah tergoda umpan plastik, ia menerangkan, momen-momen rutinitas atau lengah sudah cukup bagi penyerang untuk berhasil. Menurut dia, rasa bahwa situasi itu pasti terjadi adalah bahayanya.
SponsoredCara pandang itu sejalan dengan pendekatan keamanan yang diambil Variola.
“Tidak cukup hanya para engineer atau eksekutif saja yang berhati-hati. Setiap orang di organisasi harus benar-benar memahami risiko yang dihadapi. Bahkan magang paling bawah pun wajib sadar penuh dengan situasi ini.”
Budorin menegaskan lebih lanjut, menurutnya, dalam banyak kasus target utama bukanlah pegawai junior, melainkan CEO sendiri. Tokoh publik, founder, sampai eksekutif sering langsung jadi sasaran, justru karena tingkat eksposur dan wewenangnya di industri.
Setelah kejadian tersebut, Phemex memperketat keamanan di semua lini, tapi perubahan terbesar justru terjadi pada internal perusahaan itu sendiri.
Layer sosial dan layer finansial tidak bisa dicampur
“Crypto adalah industri yang sangat sosial. NFT, media sosial, Telegram – semua platform ini menciptakan target bagi penyerang.”
Federico Variola sangat menyoroti bagaimana interaksi sensitif sering terjadi begitu saja di lingkungan yang memang tidak pernah dirancang demi keamanan.
“Telegram, khususnya, adalah salah satu platform yang paling buruk dalam hal keamanan, tapi itu sudah menjadi standar komunikasi di industri ini.”
Ia juga menyampaikan ketidaknyamanan soal tren pelacakan wallet dan pengaitan identitas secara terbuka yang sekarang semakin marak.
Sponsored Sponsored“Saya tidak suka tren melacak wallet hingga ke orang tertentu. Itu terasa sangat bertentangan dengan semangat crypto. Tapi pada kenyataannya, makin sukses Anda di industri ini, makin besar Anda jadi target, dan makin banyak sumber daya yang perlu Anda siapkan untuk melindungi diri.”
Desentralisasi Mengubah Ekonomi Serangan
Melihat ke depan, Variola menilai desentralisasi dan self-custody adalah bagian dari perubahan besar dalam pola keamanan crypto.
“Saat desentralisasi makin menjadi standar, kita justru membagi beban keamanan ke lebih banyak titik potensi kegagalan. Hacker harus menyerang tiap individu satu per satu, bukan hanya mencari satu titik lemah saja.”
Langkah ini tidak menghilangkan risiko, tapi justru hanya memindahkannya.
“DEX dan platform desentralisasi juga memiliki tantangan tersendiri. Kode adalah hukum. Anda tak bisa menghentikan chain. Akan muncul risiko baru. Tapi, secara keseluruhan, saya rasa ini hasil positif bagi industri.”
Bagi exchange, ini berarti mereka harus beradaptasi, bukan melawan perubahan.
“Platform terpusat tidak akan hilang, tapi kita harus berevolusi. Model keamanannya pun wajib berubah seiring dengan perilaku pengguna.”
Aset Kripto Apa yang Masih Akan Berjuang dalam Lima Tahun Lagi
Ke depan, Federico Variola tidak menggambarkan tantangan ini sebagai sesuatu yang akan mudah diatasi oleh crypto lalu dilupakan begitu saja.
“AI akan menjadi tantangan terbesar,” ujar dia. “Ke depannya, quantum computing juga membawa risiko tambahan.”
Saat ditanya apakah AI juga membantu pihak pertahanan setara pihak penyerang, jawabnya pun langsung: “Sayangnya, menurut saya AI justru lebih banyak menguntungkan penyerang daripada membuat orang menjadi lebih aman.”
Variola melihat ini sebagai tanda kedewasaan industri. Crypto kini menarik talenta teknis yang kuat, dan keamanan sudah menjadi bagian dari operasional serta komunikasi sehari-hari perusahaan. Dalam sistem yang didesain agar tidak mengandalkan kepercayaan, kini fokusnya adalah memahami di mana kepercayaan masih penting dan bagaimana mengelolanya dengan bijak.
