Pahit Tapi Nyata: Ini 5 Fakta Tersembunyi Exchange Kripto

Bicara soal kripto jangan hanya terfokus soal potensi cuannya saja. Perhatikan juga fakta exchange kripto yang patut diwaspadai.

Seaman apapun suatu exchanger kripto, risiko hack bukanlah isapan jempol belaka. Sebagian besar kasus pencurian koin di wallet bukan terjadi karena teknologi blockchain itu sendiri, melainkan kelemahan-kelemahan sekuritas atau loophole yang terdapat pada aplikasi exchange kripto.

Sebagai pengguna, kalian harus menyadari dan mendeteksi kelemahan-kelemahan tersebut sebelum aset kripto terkena masalah. Langkah pertama yang bisa dilakukan adalah menyadari 5 fakta exchange kripto yang cenderung disembunyikan. Apa sajakah itu?

1. Penyimpanan Cold Wallet Tak Menjamin Keamanan Aset

Katanya, aset kripto pasti aman kalau disimpan di Cold Storage. Tapi pada kenyataannya, hacker bahkan tak perlu menyentuh dompet kalian untuk mencuri koin. Justru, mereka mencari lubang keamanan pada tiap transaksi di exchange kripto untuk memindahtangankan sejumlah koin.

Transaksi data tersebut tidak hanya terbatas pada jual beli koin saja, tapi juga transmisi data yang terekspos ketika pengguna mendepositkan atau menarik dana dari dompet. Di situlah hacker memanfaatkan kelemahan sekuritas exchange kripto untuk memindahkan dana atau koin dari tujuan awal ke tujuan baru.

Itulah pentingnya bagi pengguna untuk meneliti rekam jejak cybersecurity suatu exchange sebelum menginvestasikan sejumlah dana. Periksa laporan audit sekuritas atau bug report dari aplikasi secara mendalam, atau cari keberadaan laporan tersebut di website resmi exchange.

Baca Juga: 5 Cara Mencegah Modus Pencurian Bitcoin

2. Lokasi Exchange Kripto Sulit Untuk Dilacak

Lokasi fisik adalah salah satu faktor penting untuk menentukan legalitas dan kekuatan cybersecurity suatu exchange. Sayangnya, regulasi mengenai lokasi fisik masih cenderung longgar dan kebijakan satu negara bisa sangat berbeda dengan negara lain.

Sekalipun lokasi fisik kantor utama exchange telah disebutkan, sangat sulit untuk memastikan di mana saja geolokasi server mereka karena kecepatan transaksi lintas negara.

Baca juga: 5 Exchange Kripto Terbesar di Indonesia

Secara teknis, geolokasi server cukup menentukan kualitas keamanan aplikasi exchange. Misalnya saja, cybersecurity dari server farm sekelas AWS (Amazon Web Service), Google Cloud, atau Microsoft Azure tentu saja cukup memadai. Namun jika server yang digunakan hanya suatu unit cloud computer sekelas private (non-enterprise), maka keamanannya perlu dipertanyakan.

Sayangnya, tidak semua exchanger secara transparan membeberkan data-data di mana saja geolokasi server yang mereka gunakan; entah karena kesengajaan atau keterbatasan komunikasi antar divisi pada exchanger tersebut.

3. Fitur 2FA Tidak Menjamin Keamanan Akun

Keamanan dua lapis (two factor authorisation) atau 2FA tidak dapat 100% menghentikan pencurian koin kripto. Fakta di lapangan membuktikan bahwa hacker sama sekali tak perlu menjebol lapisan 2FA karena sebenarnya kelemahan sistem muncul dari sisi klien dan sisi pengembang aplikasi.

Pada sisi klien, hacker masih dapat menyelinap masuk dengan cara mengeksekusi XSS (cross server scripting), lalu mengganti alamat penarikan dana di dalam susunan kode HTML tanpa mengirim sinyal kebocoran sekuritas akun. Hal ini karena proses penarikan dianggap sebagai transaksi biasa.

Baca Juga: Awas, Ini 5 Cara Hacker Mencuri Uang Kripto

Lebih berbahaya lagi jika hacker telah menyerang dari sisi pengembang aplikasi. Dalam kondisi ini, hacker bahkan dapat langsung mengakses akun pengguna sah tanpa melalui proses pengecekan 2FA.

Secara teori, 2FA memang memperkuat perlindungan akun dengan menambahkan lapisan otorisasi, tapi hal tersebut tak sekaligus menjamin keamanan aplikasi dari client-side ataupun server-side.

4. Decentralized Exchange (DEX) Rentan Jadi Sasaran Hacker

Decentralized Exchange dibangun berdasarkan premis kecepatan dan kemudahan transaksi mata uang kripto tanpa intervensi dari pihak ketiga. Karena itu, DEX tidak membutuhkan lembaga kliring, otorisasi, atau regulator untuk beroperasi. Namun secanggih apapun DEX, bukan berarti mereka kebal terhadap serangan hacker.

Baca Juga: Menelisik Decentralized Exchange (DEX) dan Cara Kerjanya

Salah satu alasan kenapa DEX masih rentan serangan cyber adalah fakta bahwa setiap pengguna membutuhkan suatu aplikasi front-end untuk mengakses wallet dan melakukan berbagai aktivitas transaksional lainnya. Masalahnya, aplikasi front-end tersebut adalah titik terlemah dari jaringan keamanan kriptografi.

Hacker dapat melancarkan serangan dengan cara menginjeksi kode invasif dalam struktur HTML (XSS) front-end aplikasi tanpa sepengetahuan pengguna. Selama proses invasif tersebut, hacker dapat mengubah alamat tujuan transaksi dari satu dompet ke dompet lainnya. Sementara itu, sistem tidak dapat mendeteksi serangan karena menganggap aktivitas tadi adalah transaksi umum. 

Untuk menghindari aplikasi exchange yang rentan serangan, kalian harus secara teliti mengecek laporan audit keamanan atau whitepaper yang menjelaskan secara detail fitur-fitur cybersecurity apa saja yang dapat menjamin keamanan wallet serta dana yang tersimpan.

5. User Masih Buta Teknologi dan Infrastruktur Exchange

Masih banyak nasabah exchange hanya sekedar menggunakan aplikasi sebatas sebagai alat transaksi saja tanpa mengetahui latar belakang atau infrastruktur teknologi exchange.

Padahal, langkah tersebut cukup penting untuk dicermati karena exchange kripto bukanlah aplikasi ajaib yang dapat memindahkan koin dari satu wallet ke wallet lain tanpa dukungan infrastruktur yang sangat kompleks (meliputi jaringan server, cybersecurity, smart contract, dsb.)

Karena itu, exchange yang memiliki standar layanan baik akan melampirkan halaman khusus untuk menjelaskan dengan siapa saja mereka berpartner, teknologi atau API yang mereka gunakan untuk proses development dan maintenance, dan sebagainya.

Demikianlah fakta exchange kripto yang perlu kalian waspadai. Berhati-hatilah jika exchange kurang transparan atau belum mengantongi lisensi, karena banyak sekali risiko kerugian jika mendaftar di exchange yang tidak berizin.