#钱包安全风险 Peristiwa Mt.Gox tahun 2014, kejatuhan FTX tahun 2022, dan kini insiden peretasan Trust Wallet—bertahun-tahun saya menyaksikan terlalu banyak "kejadian tak terduga". Kerugian terbesar mencapai 3,5 juta dolar AS, kerugian kedua terbesar sebesar 1,4 juta dolar AS, kedua dompet ini bahkan tidur selama lebih dari satu tahun sebelum diserang, ini justru menunjukkan inti permasalahan: risiko bukan terletak pada seberapa aktif Anda, tetapi pada keberadaan Anda sendiri yang sudah menjadi target.

Yang paling membuat saya waspada dari insiden ini bukan angka itu sendiri, melainkan detail yang diungkap oleh SlowMist—PostHog JS disusupi untuk mengumpulkan informasi dompet, dan versi perbaikan malah tidak dihapus secara tuntas. Apa artinya ini? Banyak pengguna mengira upgrade sudah cukup aman, padahal mereka masih diawasi. Ini sama seperti proyek-proyek tahun 2022 yang "divalidasi resmi" tetapi menyisipkan backdoor.

Dari sejarah, setiap gelombang risiko keamanan dompet mengikuti pola yang sama: **Kepercayaan yang rusak sudah terlalu terlambat**. Para pemilik dompet yang tidur itu dicuri karena kesadaran keamanan mereka berhenti di satu titik—mereka mengira versi lama sudah cukup, atau menganggap tidak perlu khawatir jika tidak digunakan dalam waktu lama.

Pelajaran yang jelas sekarang adalah: matikan koneksi internet saat ekspor, transfer dulu sebelum upgrade, jangan percaya janji "versi perbaikan"—ini bukan sekadar saran, tetapi keharusan. Saya sudah melihat terlalu banyak orang membayar harga jutaan karena malas melakukan satu langkah tambahan. Keamanan dompet tidak ada ruang abu-abu, harus sepenuhnya dikendalikan sendiri, atau serahkan pada solusi cold storage profesional. Prinsip ini seharusnya sudah dipahami sepuluh tahun yang lalu, tetapi masih ada yang mengulangi kesalahan yang sama sampai sekarang.