Passkey Ví: Revolusi Keamanan Setelah Kerugian 50 Miliar Dolar

Pertanyaan industri yang tidak bisa dijawab: 50 miliar dolar ke mana?

Sejak tahun 2020 hingga sekarang, uang kripto telah menyaksikan krisis diam-diam: lebih dari 50 miliar dolar hilang dari dompet yang diiklankan sebagai “paling aman”. Pada Februari 2025, serangan Safe (sebuah solusi multi-tanda tangan yang dipercaya industri) menyebabkan kehilangan 1,6 miliar dolar bukan karena celah enkripsi atau teknologi usang, melainkan karena satu kelemahan arsitektur sederhana: antarmuka pengguna yang diretas.

Blockchain tetap sempurna. Enkripsi tetap tidak bisa ditembus. Tapi aset tetap hilang.

Kebenaran yang sulit diterima ini memaksa industri untuk mengajukan pertanyaan dasar: apa sebenarnya yang dilindungi oleh dompet kripto?

Aset di rantai, kunci di dompet

Pertama, sebagian besar pengguna keliru memahami konsep “dompet”. Bitcoin Anda tidak berada di Ledger, ethereum tidak berada di MetaMask. Aset kripto sebenarnya ada di blockchain - sebuah gudang emas yang tidak bisa dihancurkan, transparan, dilindungi oleh ribuan node yang tersebar.

Dompet hanyalah sekumpulan kunci untuk membuka gudang emas ini, bukan gudang emas yang sebenarnya.

Dalam sistem keamanan dompet saat ini:

• Blockchain (gudang emas): Terdistribusi, tidak berubah, diamankan oleh konsensus matematis
• Kunci pribadi: Satu-satunya kunci untuk memverifikasi transaksi
• Alamat publik: Tempat menerima aset (dengan aman untuk dibagikan)
• Transaksi yang ditandatangani: Perintah pengiriman aset

Masalah keamanan dompet kembali ke satu kenyataan sederhana: aset di blockchain sangat aman, tetapi setiap pencurian terkait dengan pengungkapan kunci pribadi.

Empat generasi evolusi - dari kesalahan hingga kesempurnaan

Generasi 1: Dompet perangkat lunak (2009 - sekarang)

Enkripsi kunci dan penyimpanan lokal dalam frasa memorisasi 12 atau 24 kata. Secara teori sederhana, tetapi dalam praktik sangat rentan terhadap serangan:

• Virus di komputer bisa memindai perangkat lunak
• Ekstensi browser berbahaya bisa mencuri frasa
• Kesalahan pengguna (menulis frasa di atas kertas mudah hilang atau dicuri) adalah risiko terbesar

Hasilnya: Miliaran dolar hilang dari dompet perangkat lunak setiap tahun, angka ini terus meningkat.

Generasi 2: Dompet perangkat keras (2014 - sekarang)

Memisahkan secara fisik kunci pribadi dalam chip keamanan khusus, tidak terhubung ke internet. Kunci tidak pernah muncul di perangkat lunak atau jaringan.

Tapi pengorbanannya adalah ketidaknyamanan: harus membawa USB, mudah hilang atau rusak. Serangan rantai pasokan juga bisa memasang malware sebelum perangkat sampai ke tangan pengguna.

Hasilnya: Keamanan tinggi, tetapi tingkat kenyamanan rendah.

Generasi 3: Dompet MPC (2018 - sekarang)

Membagi kunci menjadi beberapa bagian tanpa ada pihak yang memegang seluruhnya. Harus bekerja sama dengan banyak pihak untuk menandatangani transaksi.

Tapi yang istimewa adalah: pengguna harus bergantung pada penyedia layanan. Mereka bisa diretas, hilang, atau menolak melayani. Pada 14/10/2025, salah satu penyedia dompet MPC terputus koneksi selama 2 jam karena overload, menyebabkan ratusan ribu pengguna tidak bisa mentransfer uang.

Hasilnya: Kepercayaan digantikan oleh ketergantungan pada manusia.

Generasi 4: Passkey Dompet (2024 - sekarang)

Mengubah total arsitektur: kunci dipersempit dalam chip keamanan perangkat (chip yang melindungi Apple Pay, Google Pay), tidak bisa diekstrak, hanya aktif saat pengguna melakukan autentikasi biometrik.

Tidak perlu frasa memorisasi. Tidak perlu perangkat keras khusus. Tidak perlu pihak ketiga. Cukup wajah atau sidik jari.

Apa itu Safe? Pelajaran dari 1,6 miliar dolar

Safe adalah solusi dompet multi-tanda tangan terkenal, dipercaya jutaan pengguna untuk menyimpan aset. Serangan terhadap Safe pada Februari 2025 mengungkapkan sebuah fakta:

Solusi dompet tiga generasi sebelumnya semuanya berbagi satu kelemahan fatal: meskipun kunci disimpan dengan aman (secara perangkat lunak, perangkat keras, atau MPC), pengguna tetap harus mengakses melalui antarmuka web yang disediakan oleh server terpusat.

• Frontend bisa diretas
• DNS bisa bocor (mengarah ke situs palsu)
• Ekstensi browser bisa dipasang malware
• Antarmuka web bisa menjadi phishing yang sempurna

Ketika hacker menyerang Safe, mereka tidak menyerang blockchain atau kunci - mereka mengganti pintu saat semua orang fokus pada kunci.

Seperti gudang emas yang tak bisa ditembus, tetapi pintunya terbuat dari kertas.

Lima jenis serangan umum

1. Serangan antarmuka frontend

Menguasai antarmuka dompet, menyisipkan malware untuk menandatangani transaksi otomatis mengirim aset.

2. Mencuri frasa memorisasi

Perangkat lunak berbahaya memindai, melakukan social engineering, atau membuat frasa yang mudah diserang.

3. Kampanye phishing

Mengkloning situs web 1:1, membuat airdrop palsu yang mendesak, atau menipu pengguna agar memberikan izin tanpa batas.

4. Infeksi rantai pasokan

Malware tersembunyi dalam perpustakaan perangkat lunak yang mempengaruhi jutaan dompet sekaligus.

5. Serangan fisik

Mencuri kertas frasa atau perangkat keras.

Passkey: Perlindungan melalui arsitektur, bukan pertahanan

Passkey bukan teknologi enkripsi baru, melainkan sistem autentikasi identitas digital masa depan yang diinvestasikan miliaran dolar oleh Apple, Google, Microsoft. Ia melindungi miliaran transaksi harian - dari membuka iPhone dengan Face ID hingga login layanan keuangan.

Bagaimana Passkey mengubah keamanan:

• Biometrik: Wajah atau sidik jari adalah satu-satunya cara akses
• Terikat domain: Setiap Passkey terikat dengan enkripsi ke satu domain, phishing menjadi secara matematis tidak mungkin
• Tidak berbagi rahasia: Kunci tidak pernah meninggalkan perangkat
• Chip keamanan: Kunci berada di Secure Enclave, seperti chip perlindungan pembayaran

Arsitektur lengkap dompet Passkey:

Lapisan 1: Passkey dalam chip keamanan perangkat Kunci pribadi dibuat di sana, bersifat permanen, tidak bisa diekstrak atau diduplikasi.

Lapisan 2: Antarmuka frontend yang tidak berubah Antarmuka dompet diimplementasikan di atas blockchain, tidak disediakan oleh server web, tidak bisa diubah atau diganti.

Lapisan 3: Eksekusi langsung di rantai Transaksi langsung dari perangkat ke blockchain, tanpa melalui server perantara, tanpa API key.

Ketahanan arsitektur - menghilangkan titik serang

Passkey tidak hanya melawan serangan, tetapi membuat sebagian besar serangan menjadi tidak mungkin:

Serangan antarmuka → Tidak mungkin, antarmuka berada di atas blockchain, tidak bisa diubah Mencuri frasa → Tidak ada frasa lagi Phishing → Tidak mungkin, Passkey terikat ke domain tertentu Virus atau malware → Tidak berpengaruh, kunci berada di chip keamanan Serangan rantai pasokan → Antarmuka dari blockchain, tidak bergantung pada rantai pasokan perangkat lunak

Keamanan bukan soal membangun tembok tinggi, tetapi menghilangkan seluruh titik serang.

Momen Tesla dari uang kripto

Tesla tidak menciptakan mesin bensin yang lebih baik - ia menghilangkan bensin sama sekali. Demikian juga, Passkey dompet tidak memperbaiki frasa memorisasi - ia menghilangkannya sepenuhnya.

Garis waktu penerapan:

• 1-2 tahun: Perusahaan mulai mengadopsi Passkey secara besar-besaran, serangan terhadap dompet tradisional terus meningkat, perusahaan asuransi mewajibkan penggunaan Passkey
• 3-5 tahun: Penerimaan massal, penggunaan frasa memorisasi dianggap berbahaya seperti password tanpa autentikasi dua faktor
• Masa depan: Frasa memorisasi hilang, seperti modem dial-up atau floppy disk

Setiap revolusi teknologi mengikuti pola: resistensi → penerimaan → dominasi. Teknologi unggul tidak menang dengan peningkatan bertahap, tetapi dengan membuat teknologi lama menjadi usang sepenuhnya.

Saat pilihan harus diambil

Setelah kehilangan 50 miliar dolar, industri uang kripto dihadapkan pada tiga jalan:

• Melanjutkan pola arsitektur yang rentan terhadap serangan
• Memasang kunci yang lebih kuat untuk pintu kertas
• Menerima perubahan arsitektur - menggunakan Passkey

Dompet Passkey bukan sekadar optimal lokal, tetapi reformasi menyeluruh.

Masalahnya bukan apakah dompet Passkey akan menjadi standar, tetapi kapan.

Momen Tesla dari uang kripto telah tiba. Satu-satunya pertanyaan adalah: apakah Anda sudah siap?