Keamanan dana: verifikasi multi-lapis, daftar putih, dan 2FA
Bagaimana berbagai perlindungan di tingkat akun (2FA, daftar putih penarikan) dapat bekerja sama dengan mekanisme perlindungan di tingkat platform (sertifikat cadangan, dompet dingin, infrastruktur au
Apakah dana saya aman? Sertifikat cadangan diterapkan pada data cadangan rantai publik Arbitrum, MC Markets, dan tingkat cadangan selalu tetap di atas 100%, memastikan bahwa aset pengguna tercakup sepenuhnya. Aset pengguna dan dana pengoperasian platform disimpan sepenuhnya secara independen.
perkenalan
Ada dua sisi keamanan finansial pada platform perdagangan—dan sebagian besar pengguna hanya memikirkan salah satunya. Di satu sisi, itulah yang dilakukan platform untuk Anda - mengisolasi aset pengguna, menyimpan sebagian besar dana secara offline, dan menerbitkan sertifikat cadangan pada rantai sehingga siapa pun dapat memverifikasinya. Sisi lainnya adalah hal-hal yang Anda kendalikan - mengaktifkan verifikasi dua langkah, menetapkan daftar putih untuk alamat penarikan, menambahkan lapisan verifikasi lain di atas verifikasi yang ada.
Keamanan sejati mengharuskan kedua belah pihak berada di tempat pada saat yang bersamaan. Panduan ini akan menguraikan langkah demi langkah: lapisan perlindungan mana yang telah dibangun platform untuk Anda, lapisan perlindungan mana yang harus Anda bangun sendiri, dan bagaimana kedua lapisan tersebut bekerja sama - sehingga hilangnya satu tautan (baik di platform atau di pihak Anda) tidak akan membahayakan aset Anda.
1. Lapisan platform: Bukti Cadangan (PoR)
Proof of Reserve (PoR) adalah komitmen eksternal platform: setiap deposit pengguna didukung oleh aset nyata 1:1 di rantai – dan siapa pun dapat memverifikasinya secara independen. Teknis implementasinya menggunakan Merkle Tree dan di-deploy di jaringan Arbitrum.
Halaman PoR (dapat diakses dari bilah navigasi atas) menampilkan dua angka penting:
Total Cadangan – Aset yang sebenarnya dimiliki oleh platform.
Aset Pengguna - Jumlah total aset yang menjadi hak pengguna.
Rasio cadangan selalu dipertahankan pada atau di atas 100%, dan snapshot diperbarui secara berkala. Selama "total cadangan ≥ aset pengguna" selalu ditetapkan, platform memiliki kemampuan untuk memenuhi setiap permintaan penarikan kapan saja.
Atribut paling penting dari desain ini adalah: Anda tidak perlu "percaya pada janji platform" - Anda dapat memverifikasinya sendiri.
Cara memverifikasi saldo Anda sendiri
Setelah login, kunjungi halaman "Bukti Cadangan".
Masukkan alamat dompet Anda - periksa apakah data on-chain konsisten dengan saldo platform Anda.
Jika Anda mendaftar melalui email atau Google, alamat yang diberikan kepada Anda oleh platform akan dicantumkan di halaman "Deposit".
Alamat kontrak inti langsung dipublikasikan di halaman PoR. Salin ke Arbiscan untuk verifikasi on-chain.
Jika saldo yang Anda lihat cocok dengan catatan on-chain - Anda memiliki konfirmasi independen bahwa aset Anda asli. Tidak ada kata "percayalah" - hanya data publik yang dapat diaudit.
2. Lapisan platform: dompet dingin + multi-tanda tangan
Terdapat lapisan perlindungan kedua di luar PoR – tepatnya bagaimana dana cadangan ini disimpan.
Platform ini menerapkan isolasi ketat terhadap dompet panas dan dingin:
Sebagian besar aset pengguna disimpan dalam dompet dingin offline (tergantung pada halaman keamanan resmi) - terisolasi secara fisik dari sistem jaringan apa pun dan kebal terhadap serangan jarak jauh.
Hanya dana minimum yang diperlukan untuk operasi sehari-hari yang disimpan di hot wallet (seperti memproses permintaan penarikan yang tertunda).
Berdasarkan pemisahan panas dan dingin, dompet dingin juga menggunakan otorisasi multi-tanda tangan: setiap transfer dana memerlukan persetujuan dari beberapa pihak yang berwenang. Tidak ada "satu kunci", "satu orang yang bertanggung jawab", "satu kredensial yang dikompromikan" yang dapat menggunakan dana pengguna dalam jumlah besar.
Arsitektur ini adalah desain standar yang diadopsi oleh kustodian tingkat institusional dan bursa terkemuka di industri - alasannya adalah karena kasus kegagalan besar dalam sejarah industri ini hampir semuanya terkait dengan "satu titik kegagalan di sisi kustodian".
3. Lapisan platform: infrastruktur berdasarkan audit independen
Platform ini tidak dibangun di atas sistem internalnya sendiri yang tidak jelas – melainkan dibangun di atas protokol blockchain publik yang telah diaudit secara independen:
Arbitrum - Jaringan Layer 2 tempat cadangan dan kontrak berada, dan setiap transaksi dicatat secara publik di rantai.
Chainlink - Menyediakan ramalan harga terdesentralisasi untuk menghindari risiko manipulasi dari satu sumber.
Pyth - Sumber data harga frekuensi tinggi yang dioptimalkan untuk skenario derivatif.
Dua poin penting yang perlu diketahui:
Aset pengguna dan dana operasional disimpan di alamat on-chain yang berbeda - keduanya dapat diverifikasi secara independen melalui bukti cadangan.
Dana dapat ditarik kapan saja - ikuti prosedur standar dan Anda tidak "terkunci" dalam tahanan. Status cadangan dapat diverifikasi secara independen menggunakan data on-chain publik.
Infrastruktur blockchain yang diaudit + alamat on-chain yang terisolasi + penarikan berdasarkan permintaan + dapat diverifikasi secara publik - inilah perbedaan mendasar antara platform transparan dan platform yang "hanya dapat mendengarkan cerita dari sisi mereka".
4. Lapisan pengguna: otentikasi multi-lapis
Mekanisme perlindungan platform hanya efektif jika konfigurasi keamanan di tingkat akun Anda sudah diterapkan. Tidak peduli seberapa solid arsitektur hostingnya, ia tidak dapat menyelamatkan pengguna yang kredensial loginnya telah di-phishing. Itu sebabnya lapisan pengguna – 2FA, daftar putih penarikan, dan model autentikasi berlapis yang lebih luas – juga penting.
Verifikasi kedua (2FA)
2FA mengharuskan Anda memberikan "bukti identitas kedua selain kata sandi Anda" - biasanya kode verifikasi satu kali berbasis waktu yang dihasilkan oleh aplikasi autentikasi (Google Authenticator, Authy, dll.). Meskipun kata sandi Anda diperoleh penyerang karena phishing, malware, atau pelanggaran data pihak ketiga, mereka tidak akan dapat masuk tanpa perangkat fisik di tangan Anda.
Buka 2FA segera setelah Anda mendaftarkan akun - tindakan tunggal ini dapat menghilangkan kemungkinan sebagian besar akun diretas.
Daftar putih penarikan
Daftar putih penarikan adalah daftar "alamat penarikan yang diizinkan" yang telah Anda setujui secara eksplisit. Setelah daftar putih diaktifkan, platform akan menolak mentransfer dana ke alamat mana pun yang "tidak ada dalam daftar putih Anda" - tidak peduli siapa yang masuk.
Mengapa hal ini penting: Sekalipun penyerang mengambil alih akun Anda sepenuhnya, mereka tidak akan dapat memindahkan dana ke alamat mereka sendiri—hanya ke alamat yang Anda masukkan ke dalam daftar putih. Daftar putih penarikan adalah "garis pertahanan terakhir" untuk keamanan akun.
Menambahkan alamat yang masuk daftar putih biasanya memerlukan konfirmasi tertunda (seperti konfirmasi sekunder melalui email) - yang berarti tindakan "menambahkan alamat" itu sendiri juga dilindungi.
Perlindungan berlapis: menyusun beberapa pertahanan independen secara bersamaan
Konsep inti dari keamanan "berlapis-lapis" adalah bahwa tidak ada satu pun pertahanan yang mempunyai kemungkinan terjadinya "kegagalan yang sangat besar". Setiap lapisan dirancang untuk memblokir berbagai jenis serangan:
Kata Sandi - melindungi terhadap akses acak yang tidak sah.
2FA——Mencegah kebocoran kata sandi.
Daftar putih penarikan – akun pertahanan diambil alih sepenuhnya.
Konfirmasi kotak surat sekunder untuk operasi sensitif - mencegah sesi dibajak.
Kode anti-phishing (jika disediakan oleh platform) - membantu Anda memverifikasi apakah email yang "mengklaim sebagai resmi" benar-benar berasal dari platform.
Anda tidak harus memilih di antara keduanya - Anda harus mengaktifkan semuanya. Tujuannya adalah untuk membuat vektor serangan apa pun "aman untuk jatuh" - karena lapisan berikutnya akan menangkapnya.
5. Gambaran keseluruhan: bagaimana kedua belah pihak bekerja sama
Jika digabungkan, model keseluruhannya terlihat seperti ini:
Platform ini melindungi terhadap risiko sistemik - dukungan cadangan 1:1, isolasi dana pengguna dan dana operasional, sebagian besar disimpan secara offline, dan dapat diverifikasi secara on-chain.
Anda bertahan dari risiko tingkat akun—melindungi kredensial login, mengontrol tujuan penarikan, dan menerapkan beberapa verifikasi pada operasi sensitif.
Tidak ada sisi yang lengkap dengan sendirinya. Arsitektur hosting paling solid di dunia tidak dapat menyelamatkan pengguna yang kredensialnya telah dicuri; konfigurasi keamanan pribadi yang paling ketat tidak dapat menyelamatkan platform dengan manajemen cadangan yang tidak tepat. Kedua lapisan tersebut sudah ada dan bekerja sama - seperti inilah sebenarnya “keamanan dana” itu.
6. Daftar periksa praktis Anda
Daftar periksa singkat dan lugas - lakukan sebagian besar tindakan ini satu kali lalu lupakan:
Jika Anda belum membukanya 2FA, lakukan sekarang. Gunakan aplikasi otentikasi, bukan SMS.
Siapkan daftar putih penarikan dan tambahkan alamat yang benar-benar akan Anda gunakan. Hanya perlu beberapa menit untuk menambahkan alamat baru setelah itu - dan penipuan penarikan yang dapat dicegah akan bernilai jauh lebih besar daripada menit-menit tersebut.
Verifikasikan sepenuhnya cadangan Anda setidaknya sekali (ikuti langkah-langkah di Bagian 1) - sehingga Anda "telah melakukannya sekali dan mengetahui cara melakukannya". Ulangi sesekali setelahnya untuk memberikan ketenangan pikiran.
Konfirmasi email untuk operasi sensitif harus diselesaikan dengan hati-hati - jangan hanya mematikan prompt hanya untuk menghemat 5 detik.
Gunakan kata sandi yang unik dan kuat untuk akun ini - tidak dibagikan dengan situs web lain mana pun.
Sebagian besar aset disimpan di dompet dingin offline, dan hanya aset yang diperlukan untuk operasi sehari-hari yang tersisa di dompet panas. Dompet dingin menggunakan mekanisme multi-tanda tangan, dan setiap transfer memerlukan otorisasi dari banyak pihak.
MC Markets tidak akan pernah mengirim pesan pribadi yang meminta transfer, kata sandi, kunci pribadi, frasa mnemonik, atau kode verifikasi 2FA, juga tidak akan meminta transfer dana ke "alamat aman". Semua informasi resmi hanya dirilis melalui saluran resmi. Harap abaikan dan laporkan pesan pribadi yang mencurigakan.
7. Tinjauan cepat
Empat poin terpenting untuk diingat dari panduan ini:
Proof of Reserve (PoR) menggunakan teknologi pohon Merkle dan diterapkan di Arbitrum. Rasio cadangan dipertahankan pada 100% atau lebih - Anda dapat memverifikasi saldo Anda secara mandiri menggunakan Arbiscan.
Dompet dingin + multi-tanda tangan - sebagian besar dana pengguna disimpan secara offline, dan transfer apa pun memerlukan persetujuan dari banyak pihak - tidak ada satu kunci pun yang dapat menggunakan dana pengguna.
Platform ini dibangun di atas infrastruktur publik yang diaudit secara independen - Arbitrum, Chainlink, Pyth. Aset pengguna dan dana operasional disimpan di alamat on-chain yang berbeda dan dapat diverifikasi.
Keamanan di tingkat akun adalah tanggung jawab Anda - buka 2FA, buat daftar putih, dan perlakukan konfirmasi email untuk operasi sensitif sebagai "fungsi" dan bukan "pelecehan". Keamanan berlapis hanya benar-benar berfungsi ketika setiap lapisan diaktifkan.
Peringatan risiko
Arsitektur keamanan dana dan mekanisme verifikasi yang dijelaskan dalam panduan ini mencerminkan implementasi platform saat ini dan mungkin diperbarui di masa mendatang; harap selalu mengacu pada informasi terbaru yang dirilis di halaman resmi "Keamanan dan Audit". Meskipun platform ini menerapkan hosting standar industri dan perlindungan verifikasi, tidak ada sistem keamanan yang mutlak. Keamanan di tingkat akun pada akhirnya bergantung pada kredensial dan konfigurasi Anda sendiri. Harap hanya berdagang dengan dana yang Anda mampu kehilangannya.