Seorang pedagang kripto yang dikenal sebagai TraderSZ baru-baru ini membuka klaimnya ke publik bahwa seorang mantan karyawan perusahaan fintech Revolut telah menargetkannya untuk pemerasan. Eks-staf tersebut diduga mengakses detail pribadi pedagang itu dari sistem internal, lalu menghubungi anggota keluarganya yang juga menggunakan aplikasi tersebut, dengan ancaman akan membocorkan informasi Know Your Customer (KYC) dan data privat lainnya kecuali tebusan dalam bentuk kripto dibayarkan. TraderSZ membagikan tangkapan layar percakapan dan komunikasinya dengan dukungan pelanggan Revolut.
Revolut kemudian mengonfirmasi insiden ini kepada media fokus kripto Cointelegraph dan menyatakan telah melaporkan mantan karyawan itu kepada penegak hukum. Seorang juru bicara menyatakan, “Masalah ini terkait dengan tindakan melawan hukum dan kriminal dari pihak ketiga, yang merupakan mantan karyawan.”
Revolut bersikeras tidak ada sistem yang diretas, namun fakta bahwa seorang mantan karyawan tunggal dapat mengakses catatan pelanggan yang sensitif menyoroti masalah inti. Sebagaimana dicatat oleh cypherpunk dan kandidat Satoshi, Nick Szabo, bertahun-tahun lalu dalam esainya “Trusted Third Parties Are Security Holes,” bergantung pada perantara terpusat untuk menyimpan kunci privat atau data pribadi hanya memindahkan risiko ke titik kegagalan tunggal itu.
Filosofi semacam ini merupakan salah satu prinsip inti di balik penciptaan awal Bitcoin dan teknologi blockchain terkaitnya, yang mendesentralisasikan masalah keamanan data dan menyerahkannya ke tangan setiap pengguna akhir. Kini terdapat ketegangan yang semakin tumbuh antara mereka yang ingin mempertahankan ideologi ini dan startup kripto yang semakin sering mengambil jalan pintas sentralisasi dalam upaya bergerak cepat dan mendapatkan adopsi pengguna dengan segala cara.
Tentu saja, regulator dan pembuat undang-undang secara efektif memaksa fintech dan bank ke dalam model ini melalui aturan anti-pencucian uang dan Know Your Customer. Perusahaan harus mengumpulkan paspor, alamat, riwayat transaksi, biometrik, dan data pribadi lainnya untuk mematuhi aturan. Hasilnya adalah persis seperti yang diperingatkan oleh para cypherpunk: basis data terpusat yang masif yang menjadi sasaran empuk bagi pihak dalam maupun luar.
Grafton Clark, yang merupakan kepala pertumbuhan di aplikasi pertukaran bitcoin peer-to-peer Vexl, menguraikan data terkait masalah ini dalam sebuah utas di X. Riset peer-review oleh Ronald Pol, peneliti senior di Universitas La Trobe Australia, menunjukkan aturan AML/KYC menangkap kurang dari 0,1% dana kriminal. Biaya kepatuhan global melebihi $200 miliar per tahun, sementara pemulihan dana di bawah 2% di UE dan 0,2% di AS, yang berarti sistem ini menghabiskan lebih dari 100 kali lipat dibandingkan yang berhasil dipulihkan.
Basis data ini juga menghubungkan identitas dunia nyata langsung dengan kepemilikan kripto, mengubah pengguna menjadi target yang terlihat untuk pencurian fisik. “Orang-orang ini bukan ditarget karena Bitcoin,” tulis Clark. “Mereka ditarget karena identitas mereka terikat dengan kepemilikan mereka. Itulah KYC.”
Di saat yang sama, bank yang sepenuhnya patuh KYC juga telah memindahkan ratusan miliar uang hasil pencucian untuk kriminal dengan konsekuensi nyata yang minimal, dengan kasus yang melibatkan pemrosesan $160 miliar dengan pengawasan yang sangat minim oleh cabang Estonia dari bank terbesar Denmark sebagai salah satu contohnya. Namun, data blockchain menunjukkan penggunaan kripto untuk kejahatan, terutama stablecoin, juga meningkat dengan dilaporkannya pemrosesan rekor $154 miliar dalam transfer ilegal tahun lalu.
Data Menunjukkan Ancaman Fisik yang Meningkat bagi Pengguna Kripto
Ada juga data yang mendukung klaim Clark tentang ancaman fisik yang diciptakan sistem ini bagi pengguna kripto. Laporan baru dari perusahaan keamanan fisik kripto Gart mendokumentasikan 305 kasus publik yang terverifikasi dari serangan fisik bertarget kripto dari 2014 hingga awal Februari 2026. Tahun 2025 mencatat rekor dengan 76 insiden, dan enam minggu pertama 2026 mengindikasikan angkanya bisa menyamai atau bahkan melampaui tahun ini.
Dua contoh terbaru di AS menggambarkan bagaimana kebocoran data memungkinkan “serangan kunci inggris $5” ini. Dalam satu insiden yang mencerminkan episode Black Mirror sebelumnya, dua remaja menyamar sebagai pengantar, mengikat korban dengan selotip di rumah mereka di Scottsdale, Arizona, dan menuntut $66 juta dalam kripto atas perintah pemeras yang menyediakan detail target. Di lingkungan Mission Dolores, San Francisco akhir tahun lalu, seorang pria bersenjata yang menyamar sebagai pengantar mengikat seorang penghuni dan mencuri $11 juta setelah memaksa akses ke dompet. Kedua kasus menggema taktik yang terlihat dalam lusinan perampokan rumah dan penculikan yang terdokumentasi di seluruh dunia.
Dan pelanggaran data dari entitas terpusat dapat menyediakan informasi target untuk serangan-serangan ini. Tahun lalu, agen layanan pelanggan Coinbase disuap untuk data pelanggan. Seorang pejabat pajak Prancis diduga menggunakan perangkat lunak pemerintah untuk mengambil catatan investor kripto dan menjualnya kepada kriminal. Prosesor pembayaran pihak ketiga Ledger juga mengalami pelanggaran, menyusul kebocoran sebelumnya perusahaan pembuat dompet keras kripto itu pada 2020 yang mengekspos alamat hampir 272.000 pelanggan dan mengakibatkan ancaman phishing dan fisik.
Entitas terpusat semacam ini dalam dunia kripto menciptakan masalah berbagai jenis, tak peduli siapa yang menjalankannya. Putra dari seorang eksekutif puncak di sebuah firma yang bertugas menyimpan aset kripto pemerintah AS baru-baru ini dituduh mencuri aset senilai $40 juta. Di Korea Selatan, sebuah bursa kripto secara tidak sengaja mentransfer $43 miliar dalam bitcoin ‘kertas’ kepada pengguna, suatu jumlah yang bahkan tidak mereka kendalikan menurut data on-chain.
Meskipun keuangan terdesentralisasi (DeFi) sering disebut sebagai solusi untuk masalah ini, protokol DeFi telah mengalami bug ala “Office Space” dan eksploit lain yang memerlukan rollback terpusat, mengindikasikan realitas bahwa “de” dalam DeFi kerap tak lebih dari sekadar sandiwara untuk tujuan pemasaran. Peretasan semacam ini, kadang-kadang, telah menciptakan krisis eksistensial untuk teknologi ini. Namun, jelas juga ada nilai tertentu di sini terkait protokol yang lebih sederhana dan stabil seperti Bitcoin, setidaknya bagi mereka yang mau dan mampu mengambil tanggung jawab mengamankan aset mereka sendiri.
Tujuh belas tahun setelah blok genesis Bitcoin, realitanya adalah penyimpanan mandiri aset digital masih belum sederhana bagi kebanyakan orang. Meskipun pendekatan hibrida di mana kunci dibagi antara perangkat pengguna dan penanda tangan multisig tepercaya dapat menawarkan jalan tengah antara desentralisasi penyimpanan yang lengkap dan model perbankan bitcoin, solusi yang lebih baik untuk mengamankan baik data pribadi maupun aset kripto di perusahaan terpusat sangatlah mendesak.
Sebagaimana yang telah berulang kali disorot oleh Electronic Frontier Foundation di masa lalu, kemungkinan terdapat ketidaksesuaian insentif di sini yang mungkin perlu diperbaiki melalui undang-undang. Dalam komentar menyusul penyelesaian pelanggaran data Equifax kembali pada 2017, EFF mencatat bahwa “kurangnya akuntabilitas hukum berarti perusahaan yang memegang data sensitif kita terus memiliki insentif yang tidak memadai untuk mengambil langkah-langkah yang diperlukan untuk melindungi kita dari pelanggaran berikutnya.”
Namun, sebagaimana penelitian Pol yang disebutkan sebelumnya mengindikasikan, langkah pertama untuk memperbaiki keadaan mungkin hanya dengan mengakui bahwa memang ada masalah serius di sini. “Mengakui kegagalan kebijakan secara jujur dapat memulai proses untuk mengatasinya,” tulis Pol.