Topic: [Tips] Bagaimana Saya Aman Pakai Wallet Bitcoin Selama 5 Tahun Ini (Read 398 times)

Intinya memang harus punya kontrol penuh terhadap aset yang kita punya. Experiment flashdisk di atas itu adalah salah satu 1 cara murah yang dapat dipakai supaya kontrol asset tersebut penuh ada pada kita. banyak cara selain itu, misal: hanya menulis seed di kertas tanpa mengkopy atau membeli flashdisk lagi. Tapi memang agak rumit, dimana setiap login atau masuk electrum wallet harus memasukan 12 seed terus, beda kalau mengkopi di flash disk, kita hanya choose atau pilih lokasi file walletnya saja.

Hil yang Mustahal, Tapi ledger mencoba jalan tersebut. Bukan dapet apresiasi dari pengguna malah dapet banyak kritikan dan cacian.
Pemerintah kayaknya pengen menguasai semuanya termasuk crypto dan gak ada satupun yang bisa sembunyi.
Bahkan masalah pajak crypto saja sekarang sudah mulai ketat.

Cara gratisan yang sampean sebutkan tampaknya jadi Opsi yang lebih aman dan murah.
Saya juga mau experiment dengan Flashdisk dan electrum biar jadi Hardware Wallet KW, tapi lebih aman, punya kontrol penuh dan pastinya murah.

Fitur baru yang memang berguna bagi beberapa orang saja, Tapi melawan prinsip privasi asset crypto selama ini.
Kita sekarang hanya perlu melihat, bagaimana ledger akan mengatasi kemarahan pengguna saat ini dan apa perkembangan selanjutnya.

Agak lucu, akankah ada yang memakainya nanti. Saya pikir kalau begini sama saja menyerahkan kunci ke pihak lain dan itu resikonya fatal. Sepertinya ledger juga akan bertaruh dengan fitur ini sukes atau tidaknya. Alasan mereka juga sebenarnya cukup bisa diterima, tapi fitur ini bertentangan dengan prinsip "Not Your Keys, Not Your Crypto". Walapun dengan KYC, kita bahkan tahu ledger sendiri pernah dicuri datanya pada tahun 2020.

Source: https://id.beincrypto.com/fitur-baru-ledger-untuk-pemulihan-seed-phrase-tuai-kontroversi/

Saya awalnya juga begitu mas, anggapan saya kalau data yang saya generate akan terkriim ke pihak trezor. Tapi kalau tidak mencoba akan tambah penasaran, bukan?. lalu saya mencoba membeli HW, dan Untuk meyakinkan saya kalau data atau seed yang saya create tidak terkirim ke pembuat, saya generate wallet dan addressnya secara offline (atau tanpa terhubung ke internet) melalui koneksi ke electrum offline. Alhamdulliah berhasil, wallet dan address berhasil saya buat, dari sana lalu saya mengirim btc ke address atau wallet yang tidak pernah online tersebut, dan sampai sekarang pun wallet tersebut masih tidak pernah online, dan btc yang saya simpan tersebut masih duduk di sana dengan manis selama 4 tahun kayaknya.

Nah ini yang agak lucu kalau pemerintah mengharuskan KYC untuk non-custody wallet. Kalau exchange, okelah mereka bisa, karena mereka bisa mengakses ke pemilik exchange (kayak oscar misalnya, kalau ditodong pemerintah akan membubarkan Indodax pasti dia akan kasih KYC),

tapi kalau wallet non-custody (dimana key-nya user yang pegang) tentu ini akan jadi misi yang cukup imposible, atau hil yang mustahal. Karena orang sudah pintar, apa lagi di crypto ini, semua bisa di anonim, kalau HW harus KYC, tentu semua orang akan pakai cara gratisan 9 point yang saya jabarkan di atas, murah, aman, anonim dan tidak butuh modal apa pun alias gratis.

Masih coming soon, Lihat disini: https://www.ledger.com/recover

---

Dari yang saya baca, itu bagi mereka yang subscribe dengan kata lain si user menggunakan opsi yang mereka tawarkan. Konsepnya menggunakan Shamir Secret Sharing, jadi seed phrase yang di enkripsi nantinya di split menjadi beberapa bagian (https://twitter.com/Ledger/status/1658458726016204800?s=20).

Saya pribadi tidak mau melakukan hal tersebut meski layanan recovery-nya gratis sekalipun, dan lebih memilih menyimpan backup seed phrase secara mandiri.
Saat ini, itu hanya opsi bagi mereka yang memang membutuhkan metode seperti itu.

---

Itu kalau user menggunakan layanan mereka (Ledger recover) dalam hal ini Seed phrasenya di split dengan metode Shamir.

Kalau produsen hardware wallet ternyata menyimpan cadangan key dari produknya, besar kemungkinan sudah bertahun-tahun lamanya akan ada banyak kasus yang melaporkan kehilangan aset setelah membeli hardware wallet tersebut yang tentunya akan menjatuhkan reputasi dari produsennya itu sendiri.

Untuk HW yang closed source kekhawatiran akan hal tersebut bisa saja dianggap wajar, namun ada juga kan hardware wallet yang open source dan code-nya bisa dilihat publik yang bisa mengkritisi jika sekiranya ada code yang dianggap berbahaya.

Menurut opini saya, terlalu paranoid dan bahkan meng-generalisir semua hardware wallet demikian agak keliru.

---

Kalau memang kedepannya pemilik HW diharuskan KYC dan menerapkan fitur yang sama seperti itu bahkan diwajibkan untuk menggunakannya (men-share seed sekalipun dengan di split), berarti konsepnya sudah bukan lagi non-custodial wallet.

Hardware wallet kayak Ledger tampaknya udah gak layak buat jadi Penyimpanan asset utama. Fitur Ledger Recover ini membuat pengguna Ledger makin was-was, Phrase tentu juga disimpan oleh pihak ketiga dan swaktu-waktu jika pihak ketiga tersebut di hack pasti phrase akan bocor. Menyimpan asset di Ledger sama saja menyimpan asset di Dompet yang bolong, bakal jatuh seketika dan hilang.

Dikhawatirkan nantinya beberapa HW lain juga mengikuti jejak Ledger, karena peraturan pemerintah yang mengharuskan mereka untuk membenamkan fitur tersebut. Ini bukan jadi kemajuan, tapi kemunduran dan Ledger bakal kehilangan penggunanya.

Yang paling aman sih seperti yang om @Chikito jelaskan di thread ini. Atau bisa membuat bootable USB Flashdisk Khusus wallet electrum layaknya Hardware wallet buatan sendiri dengan Tail OS Linux.  

Untuk kasus bank mungkin kita masih dapat bantuan hukum dari pemerintah atau lembaga/institusi lainnya (walau tidak menjamin uang kembali jika hilang), sedangkan kalau pada wallet bitcoin apalagi yang closed source, ini bakal merugikan kita sepenuhnya.

Akhirnya kekhawatiran saya terhadap penggunaan hardware wallet terpecahkan juga. Karena bagi saya sejak awal tidak berminat pada hardware wallet seperti ledger dan lainnya, karena saya khawatir dengan seednya, kita tidak pernah tahu produksinya seperti apa. Tidak mungkin sepenuhnya tidak diketahui oleh pengguna maupun mesin pencetak. Jika sudah membocorkan ke pihak ke 3 ataupun mereka sendiri menawarkan layanan recover, artinya memang mereka memiliki key cadangan.

Untuk BSI sepertinya mereka sudah tidak memenuhi permintaan Hackernya. Bahkan mereka sepertinya mengangap biasa keadian ini. Hacker juga menyarankan untuk para Nasabah BSI untuk mengugat atas kebocoran data.  Dari sini kita bisa belajar bahwa lembaga berfikir data elektronik bukan hal membahayakan jika bocor. Kalau saya memiliki BSI tentu saya akan segera memindahkan saldo secara permanen. Bisa membayangkan jika mereka punya data kita dan nanti sistemnya tidak diubah diperbaharui nomer rekening virtual account sama saja mungkin kita siap kehilangan uang.

Apakah ini layanan terbaru dari Ledger? Saya membaca jika Ledger mengonfirmasi spekulasi bahwa mereka memperkenalkan layanan pemulihan Seed dengan biaya, $9,99 per bulan untuk pemilik dompet Nano X-nya. Layanan, Ledger Recover, menurut mereka ini adalah layanan pemulihan seed yang bisa hilang. Artinya mereka bisa mengkonfirmasi bahwa mereka dapat mengakses Ledger sewaktu waktu bila sedang dalam kondisi online. Saya berasa ngeri sendiri kalau begini. CMIIW


Sumber: https://www.coindesk.com/tech/2023/05/16/ledger-bats-back-criticism-of-new-wallet-recovery-service/

Kabarnya kasus BSI ini karena ransoware, beruntung dana saya aman, padahal saya nyimpan duit di sana semua. Setelah beberapa saat online, lalu saya memindahkan semua dana ke bank lain. Ini juga menandakankan bahwa kredibilitas keamanan bank itu jadi tolak ukur pengguna untuk tetap menyimpan uangnya di sana, kalau sudah 5 hari tidak beres tentu user akan kabur. Dan, ini juga berlaku buat wallet bitcoin, kalau ternyata banyak yang komplain pasti bakal ditinggalkan kayak freewallet.

Dan mungkin yg lg tren sekarang seperti ledger yang mengirimkan atau mengekstrak seed dan private key ke pihak ketiga juga jadi perhatian khusus untuk hati2. Mungkin ada sesuatu dibalik itu

Kebanyakan kasus hacking yang ane baca di berbagai media sosial kebanyakan berasal dari kelalaian user dibandingkan software yang kurang aman. Tentu saja ada potensi bug/exploit di software yang agan gunakan, tapi dengan open source dan praktik keamanan standar yang baik sebagaimana di share di atas agan bisa mengantisipasi masalah tersebut.

Ane pribadi menggunakan mobile wallet di HP ane, walaupun bukan untuk cold storage. Selama beberapa tahun ini ane tidak mengalami masalah berarti. Selama agan tidak mengundung aplikasi yang mencurigakan, mengunjungi situs phishing di HP agan, dst, agan bakal baik-baik saja.

Bukan terlalu paranoid sih mas kalau menurut saya, karena setiap orang memiliki cara tersendiri dalam mengambil keputusan, apalagi yang berhubungan dengan aset. Sudah sewajarnya kita harus memastikan keamanan wallet yang kita miliki, apalagi wallet yang dibutuhkan adalah wallet online. Ingat kasus BSI, sekelas bank pun dikabarkan mengalami kebocoran data, apalagi kita user biasa.

Betul. Justru akan merasa nyaman dengan dompet paling mantap ini jika sudah tahu cara pemakaiannya dan akan lebih termotivasi untuk mengexplore lebih jauh lagi fitur-fitur baru yang tersedia ketika tidak ada kesibukan lain.

Namun, apapun itu tidak akan menjadi motivasi apabila niat untuk mencoba yang terbaik diantara yang baik tidak ada, sebab tidak kita pungkiri juga ada type orang yang suka menggunakan dompet yang instan alias pemakaiannya mudah tidak ribet. Padahal yang instan-instan itu tidak baik untuk perkembangan otak.

Kalau sekiranya HP sampeyan aman dan tidak pernah dipakai buat yang macam-macam, saya kira tidak masalah, dan itu juga tergantung ke cara pemakaiannya. Pakai HW yang paling aman pun jika pemakainya teledor bakal terancam pula securitynya.

Saya pernah juga nyoba pakai Tail OS yang saya install di flash disk. Sekitar awal tahun 2020 sering saya pakai wallet yang terinstall di OS tersebut karena seringnya saya bepergian jauh dari PC, sehingga agak terpaksa minjem laptop teman pakai flashdisk tersebut.

Sesuatu yang sulit jika sering dikerjakan secara rutin, tidak bakal sulit lagi, malah tambah tertantang dan berupaya tuk mengexplore lebih jauh semua fitur electrum.

Betul, malah kalau saya akan generate address yang benar-benar offline di cara no. 2 dan 3. Lalu, setelah address didapat, lalu dicopy di notepad. Simpan saja bitcoin di address yang belum pernah online tersebut, menurut saya cara itu yang paling aman.

Dulu sempat baca postingan @ bL4nkcode tentang letak file wallet pada Electrum di Android:

---

Namun beberapa catatan yang mungkin perlu dipertimbangkan kalaupun memang mau "memisahkan" file wallet tersebut dengan software Electrum Android-nya:
- Smartphone mesti di root, dan proses ini ada resiko tersendiri; Dengan kata lain sederhananya pengamanan dari OS Android dengan meng-hide folder/file sensitif nya jadi mudah diakses.

- Anggaplah smartphone sudah di root dan file wallet sudah bisa diambil dan disimpan di flashdisk/memory card/folder non-default Electrum Android, yang menjadi PR berikutnya, file wallet yang dipisah direktorinya tersebut tidak bisa diakses di Electrum Android karena pada versi terbarunya saat ini pun (v4.4.3) setahu saya tidak ada opsi untuk open wallet dari folder lain sebagaimana Electrum versi desktopnya; Jadi wallet yang bisa dibuka adalah wallet yang sudah dibuat sebelumnya dan tersimpan di folder defaultnya.

 

Kesimpulannya, @Luzin cara yang digunakan agan Chikito tidak bisa digunakan untuk Electrum Android.
Opsi pengamanan wallet Electrum Android tingkat lanjut yang masih memungkinkan terlebih jika punya lebih dari satu device adalah menggunakan Multi-Signature wallet (kalau opsi wallet dengan 2FA ada fee-nya lagi).

Apakah agan sering bertransaksi?
Kalo kiranya jarang dipake menurutku mending pake wallet versi desktopnya aja (PC), karena potensi bahaya wallet versi mobile lebih banyak terutama dari faktor kecerobohan pengguna.
Jika alasan agan hanya untuk memonitor harga saldo, ada beberapa cara yg lebih aman yg disaranin di thread ini >> https://bitcointalksearch.org/topic/mobile-banking-hanya-untuk-cek-saldo-ya-explorer-aja-5446962

IMO, biasanya sesuatu yang rumit lebih aman.
Dengan banyaknya panduan cara pemakaian terkait dompet Electrum sudah memberikan kemudahan bagi orang yang ingin menggunakannya.
Awal saya menggunakan Electrum juga mengalami kesusahan dan terasa sangat rumit, tapi setelah mengikuti beberapa panduan yang tersedia mulai menemukan kemudahan.

SafePal juga bagus karena wallet tersebut tergolong dompet hardware juga sebagaimana yang sudah diberikan gambaran oleh Husna QA.
Tapi coba gunakan Electrum dengan langkah-langkah yang disebutkan oleh om Chikito meskipun agan merasa nyaman dengan SafePal dalam menyimpan Bitcoin selama ini.

Karena saya sering bepergian. Jadi saya pakai electrum versi android. Tapi menurut om-om sekalian aman tidak sih yang versi android tersebut?. Apakah ada yang pernah mengalami pengalaman buruk terkait Electrum versi Android?

Tips yang dibagikan Om @Chikito benar-benar bermanfaat bagi saya. Soalnya saya baru tahu ada cara seperti di poin 5,6 dan 7. Karena saya pribadi memang banyak fokus di altcoin. Sehingga baru-baru ini saja saya kembali pada pangkuan Bitcoin. Dan kembali menggunakan Electrum. Karena untuk altcoin saya hanya suka menggunakan hot wallet biasa.

----
Mau ngirim Merit ternyata Smerit saya masih 0,

Tidak kali ini saja explorer sering error, beberapa waktu lalu saya pernah mengalami eror pada blockonomic, dimana saya selalu pantau address saya di sana, Ini disebabkan oleh server lokal mereka sendiri bukan dari wallet atau blockchain bitcoin.

saya tidak pernah pakai secara intens di android, dan saya cari-cara juga gak nemu. Tapi kemungkinan besar kalau HP sampeyan di root data tersebut ada di /data/data/org.electrum.electrum/files/data/wallets [1].

[1]. https://bitcointalksearch.org/topic/electrum-on-android-wallet-file-location-1937487

Wallet apa pun sebenarnya aman asal sesuai prosedur. Trik saya di atas itu sebenarnya keamanan lapis kedua dan lapis ketiga ada di point no. 9. kalau bisa diterapkan di wallet safepal juga ndak apa-apa asal proses dan prosedurnya sama.

Sebenarnya harus online sebentar untuk mensikronkan balance, (mungkin saya ini memang cukup paranoid soal keamanan), setelah balance sinkron baru saya lakukan proses offline tadi.

Tempo dulu pernah nyoba sebentar pakai testnet untuk multi signature ini, mungkin karena saya pikir agak ribet jadi gak saya lanjutkan di mainet sampai sekarang.

Menginstall wallet Bitcoin semisal Electrum, kemudian setelah mendapatkan seed phrase dan juga address Bitcoin untuk keperluan receive Bitcoin kemudian uninstall software wallet-nya. Hal tersebut bisa dikatakan salah satu cara aman terutama bagi HODLER, tapi bagi yang sering bertransaksi untuk mengirim aset ke address lain, menurut saya akan sedikit merepotkan bila harus berulang kali import wallet dengan menginput seed phrase.

Iya om, setiap pengguna pasti punya cara berbeda dalam praktik keamanan walletnya terlepas apakah mereka menggunakan walletnya dalam kasus penggunaan sehari-hari atau mungkin untuk wallet penyimpanan dalam jangka panjang. Ane juga sudah menggunakan electrum cukup lama dan syukur Alhamdulillah hingga sekarang wallet ane masih aman. Tips dan teknik keamanan bisa dipelajari, tapi ane rasa kalau mau lebih aman maka pasti ada trik yang lebih baik lagi seperti menggunakan wallet multi-signature atau mungkin menghapus apk di PC/Android setelah semua data pentingnya di backup ke tempat yang aman.

Ane pikir aplikasi dompet electrum tidak terlalu dibutuhkan selama pengguna memiliki seed atau private keynya. Mereka dapat mengakses wallet kapanpun mereka mau saat dibutuhkan untuk memindahkan bitcoinnya ke dompet lain asalkan seed atau privatekey itu masih ada. Tapi ini hanya tergantung pada bagaimana pengguna mengamankannya data-data tersebut sehingga itu benar-benar aman saat dibutuhkan.