Cara Setup Cold Wallet Monero Air-Gapped dari Nol

Ketika Binance menarik Monero dari order book-nya pada Februari 2024 dan Indodax menyusul beberapa bulan kemudian setelah Bappebti memperketat daftar aset kripto yang diizinkan, ribuan pemegang XMR di Indonesia belajar pelajaran yang tidak enak: menitipkan Monero di bursa berarti mempercayakannya kepada pihak yang bisa men-delisting, membekukan, atau menyita aset Anda dalam semalam. Reaksi alami adalah migrasi besar-besaran ke self-custody, dan sudut paling paranoid dari migrasi itu berhenti di satu ide sederhana — simpan kunci pada perangkat yang belum pernah menyentuh jaringan apa pun. Cold wallet air-gapped adalah perangkat seperti itu: mesin yang menandatangani transaksi Monero dalam isolasi total, sehingga koneksi internet yang sepenuhnya dikompromikan sekalipun tidak akan pernah bisa mencapai spend key Anda.

Panduan ini menunjukkan cara membangun setup tersebut dari nol, menggunakan pemisahan hot/cold yang sudah didukung Monero secara native sejak 2017. Pada akhirnya Anda akan memiliki dua dompet — sebuah "watch-only" online yang melacak saldo, dan brankas offline yang menyimpan rahasianya. Jika Anda mendanai brankas itu dengan privasi sejak awal, menukar ke XMR melalui layanan tanpa-log seperti MoneroSwapper menghindari jejak kertas bursa yang justru ingin diatasi oleh air-gap. Mari kita bangun dengan benar.

Mengapa Air Gap Sangat Penting untuk Monero

Monero sudah menyembunyikan grafik transaksi Anda di level protokol. RingCT menyembunyikan jumlah, teknologi stealth address menyamarkan penerima, dan ring signatures (yang segera akan digantikan oleh FCMP++) mengaburkan pengeluaran nyata di antara umpan-umpan decoy. Tapi tidak satu pun dari itu yang melindungi private key yang tergeletak di laptop harian Anda — laptop yang juga menjalankan browser, klien torrent, dan PDF mencurigakan dari minggu lalu.

Ancaman ada di endpoint, bukan di blockchain. Clipboard hijacker, malware infostealer seperti Lumma dan RedLine, serta klon dompet jahat memanen ratusan juta dolar kripto sepanjang 2024–2025. Air gap menghilangkan seluruh permukaan serangan jarak jauh karena perangkat penandatangan tidak memiliki jalur menuju penyerang sama sekali.

• Isolasi kunci: Spend key dan mnemonic seed Anda tidak pernah ada di mesin yang terhubung internet, sehingga tidak bisa diekstraksi oleh malware jarak jauh.
• Penandatanganan tamper-evident: Anda memeriksa tujuan dan jumlah setiap transaksi keluar di perangkat offline sebelum ditandatangani, mengalahkan serangan clipboard-swap.
• Ketahanan regulasi: Dengan delisting yang dipercepat oleh MiCA dan tekanan FATF travel rule, plus pengetatan Bappebti/OJK di dalam negeri, self-custody adalah satu-satunya cara berkelanjutan untuk memegang XMR — dan cold storage adalah bentuknya yang paling kuat.
• Fungibilitas terjaga: Koin yang Anda kontrol langsung mempertahankan fungibilitas Monero secara utuh, tanpa label "tercemar" yang ditempelkan bursa mengikuti ke mana pun.

Yang Anda Butuhkan Sebelum Mulai

Setup air-gapped memerlukan dua perangkat dan satu metode satu-arah untuk memindahkan file di antara keduanya. Mesin online berbicara dengan jaringan Monero; mesin offline tidak pernah. Atur pembagian ini dengan benar dan sisanya tinggal mekanis.

Memilih Perangkat Offline

Opsi termurah yang andal adalah laptop tua dengan kartu Wi-Fi yang dilepas secara fisik atau dinonaktifkan dan port Ethernet dibiarkan tidak terpasang. Raspberry Pi tanpa periferal jaringan juga cocok, demikian pula mesin khusus yang boot Tails dari USB. Tails bersifat amnesik secara default — ia melupakan segalanya saat dimatikan — jadi Anda memasangkannya dengan penyimpanan terenkripsi persisten hanya untuk file dompet, atau Anda memulihkan dari seed Anda setiap sesi.

Apa pun yang Anda pilih, aturannya mutlak: perangkat itu tidak terhubung ke jaringan apa pun, selamanya, untuk sisa hidupnya. Sekali terhubung, air gap rusak dan Anda harus memperlakukan kunci sebagai berpotensi terekspos.

Pilihan Software

Tiga klien Monero menangani cold signing dengan baik. GUI dan CLI Monero resmi menyertakan workflow cold-wallet penuh. Feather Wallet, klien komunitas yang ringan, menambahkan alur penandatanganan offline yang lebih dipoles dan sangat cocok untuk pengguna yang tidak ingin menjalankan node penuh. Ketiganya open source dan reproducible.

Untuk sisa panduan ini, saya akan mengasumsikan pendekatan DIY air-gapped dengan klien resmi, karena ia mengajarkan model dasar yang diabstraksi oleh setiap metode lain. Begitu Anda memahami pemisahan hot/cold, alur hardware wallet adalah ide yang sama dengan rahasia tersegel di dalam chip.

Bagaimana Pemisahan Hot/Cold Benar-benar Bekerja

Desain cold-signing Monero memisahkan kemampuan untuk melihat dana dari kemampuan untuk membelanjakannya. Ini memetakan langsung ke dua kunci yang diturunkan setiap wallet Monero dari mnemonic seed-nya: view key, yang membiarkan software mendeteksi output masuk milik Anda, dan spend key, yang diperlukan untuk mengizinkan pembelanjaan.

Mesin online memegang watch-only wallet yang dibangun dari alamat dan private view key Anda saja. Ia memindai blockchain, mengenali output stealth address Anda, dan menampilkan saldo — tetapi secara fisik tidak bisa memindahkan satu koin pun. Mesin offline memegang wallet lengkap, termasuk spend key, dan merupakan satu-satunya hal yang dapat menghasilkan tanda tangan yang valid.

Jika watch-only wallet Anda pernah dikompromikan, penyerang mempelajari saldo dan transaksi masuk Anda — tetapi mereka tidak akan pernah bisa membelanjakan satu piconero pun, karena spend key tidak pernah meninggalkan perangkat air-gapped.

Pembelanjaan karena itu menjadi relai antara keduanya. Wallet online menyusun transaksi yang belum ditandatangani, wallet offline memeriksa dan menandatanganinya, kemudian wallet online menyiarkan hasil yang sudah ditandatangani ke mempool. Key image — penanda kriptografis yang mencegah double-spend — dihitung offline dan disinkronkan kembali sehingga watch-only wallet tahu output mana yang sudah dibelanjakan. Tidak ada rahasia yang melintasi celah; hanya artefak transaksi.

Langkah demi Langkah: Membangun Cold Wallet Air-Gapped Anda

Sisihkan satu jam untuk percobaan pertama. Kerjakan perlahan — setiap kesalahan di sini bisa diperbaiki kecuali seed yang bocor atau air gap yang rusak. Siapkan flash disk bersih (atau webcam yang mendukung QR di setiap perangkat) untuk pemindahan.

1. Verifikasi binary Anda. Di mesin online, unduh klien Monero dari getmonero.org, kemudian periksa hash SHA-256 dan verifikasi tanda tangan GPG terhadap kunci maintainer. Reproducible build berarti binary harus cocok dengan apa yang dikompilasi secara independen oleh komunitas. Jangan pernah melewati langkah ini — wallet yang sudah disisipi backdoor mengalahkan setiap langkah lainnya.
2. Buat wallet secara offline. Pindahkan binary yang terverifikasi ke perangkat air-gapped melalui USB. Buat wallet baru di sana dengan monero-wallet-cli. Tulis mnemonic seed 25 kata di kertas — tidak pernah dalam foto, tidak pernah dalam file teks. Wallet offline ini memegang baik spend key maupun view key.
3. Ekspor kredensial view-only. Pada wallet offline, catat alamat utama dan jalankan perintah untuk menampilkan private view key. Dua nilai ini adalah semua yang sisi online akan pernah butuhkan.
4. Bangun watch-only wallet online. Pada mesin yang terhubung internet, pilih "Create wallet from keys" (view-only) dan masukkan alamat, private view key, dan restore height yang cocok dengan waktu wallet dibuat. Biarkan ia sinkron melawan node Anda sendiri atau remote node tepercaya melalui Tor.
5. Danai dan konfirmasi. Kirim XMR ke alamat baru Anda. Watch-only wallet akan mendeteksi output masuk setelah dikonfirmasi. Jika Anda mengakuisisi Monero secara privat, rutekan pembelian melalui swap tanpa-KYC sehingga transaksi pendanaan tidak membawa tautan identitas.
6. Sinkronkan output dan key image. Untuk membelanjakan, ekspor output dari watch-only wallet, bawa file ke perangkat offline, impor, kemudian ekspor key image kembali ke sisi online dan impor di sana. Ini membuat saldo watch-only akurat dan sadar-bisa-dibelanjakan.
7. Susun, tanda tangani, dan siarkan. Pada wallet online, buat transaksi yang belum ditandatangani ke tujuan Anda. Pindahkan file unsigned_monero_tx ke perangkat offline, periksa penerima dan jumlah di layar, dan tanda tangani. Bawa signed_monero_tx hasilnya kembali dan kirimkan ke jaringan.

Untuk pengeluaran kecil yang sering, Anda dapat menggantikan transfer USB dengan kode QR beranimasi — Feather dan GUI keduanya dapat meng-encode transaksi yang belum dan sudah ditandatangani sebagai urutan QR yang dipindai oleh kamera setiap perangkat, menjaga mesin offline benar-benar tanpa port.

Contoh Praktis: Holding Jangka Panjang yang Dilakukan dengan Benar

Bayangkan seorang pemegang di Jakarta yang menumpuk XMR sebagai cadangan privasi. Ia membeli dalam batch kecil selama beberapa bulan, setiap kali menukar BTC atau USDT ke Monero dan mengirimnya langsung ke alamat cold wallet air-gapped-nya. Watch-only wallet online melacak saldo yang bertumbuh; seed berada dalam brankas tahan api di Bekasi, dengan cadangan baja di rumah orang tua di Bandung.

Kepatuhan pajak dan privasi bukan lawan satu sama lain di sini. Sejak PMK 68/2022, DJP memperlakukan kripto sebagai komoditas dengan PPh final 0,1% dan PPN 0,11% di atas transaksi melalui PFAK terdaftar — dan transisi pengawasan ke OJK pada 2025 tidak mengubah kewajiban pelaporan saat aset dijual. Self-custody tidak membebaskan siapa pun dari kewajiban pelaporan jika terjadi disposal kena pajak — tetapi memegang dalam cold storage berarti tidak ada kustodian pihak ketiga dan tidak ada bursa yang dapat dipanggil untuk seluruh riwayat wallet. Ketika pemegang akhirnya membelanjakan, ia menandatangani offline, menyiarkan melalui node yang dirutekan Tor, dan lapisan propagasi Dandelion++ mengaburkan node mana yang pertama meneruskan transaksi.

Jika pemegang itu malah meninggalkan tumpukannya di bursa terpusat, satu delisting yang dipicu OJK atau pembekuan akun bisa memaksa fire-sale atau penarikan beku. Air gap mengubah kewajiban kustodial menjadi cadangan privat dan berdaulat — yang merupakan inti dari semuanya.

FAQ

Apakah wallet air-gapped berlebihan untuk jumlah Monero yang kecil?

Untuk uang saku yang Anda belanjakan mingguan, hot wallet mobile sudah cukup dan jauh lebih nyaman. Pendekatan air-gapped menjadi sepadan dengan kerumitannya begitu Anda menyimpan jumlah yang benar-benar tidak ingin Anda hilangkan ke malware. Banyak orang menjalankan keduanya: hot wallet untuk pengeluaran dan brankas air-gapped untuk tabungan.

Apa yang terjadi jika perangkat offline saya mati?

Tidak ada yang hilang, karena wallet hidup dalam mnemonic seed 25 kata, bukan di perangkat keras. Pulihkan ke mesin offline baru mana pun dan Anda mendapatkan kembali kontrol penuh atas spend key. Inilah alasan persis mengapa backup seed lebih penting daripada perangkatnya sendiri — jaga kata-katanya, ganti perangkat kerasnya dengan bebas.

Bisakah saya menggunakan hardware wallet daripada membangun ini?

Bisa. Ledger menyimpan spend key Anda dalam secure element dan menandatangani transaksi sementara kunci tidak pernah meninggalkan chip, yang mencapai tujuan isolasi serupa dengan lebih sedikit kerja manual. Trade-off-nya adalah firmware tertutup, ketergantungan vendor, dan secara historis dukungan yang lebih lambat untuk fitur khusus Monero, sehingga power user sering lebih memilih DIY air gap untuk transparansi penuh.

Apakah saya perlu menjalankan node sendiri untuk wallet online?

Tidak harus, tetapi itu adalah opsi paling privat. Menghubungkan watch-only wallet ke remote node publik membocorkan aktivitas view key dan IP Anda ke operator node tersebut kecuali Anda merutekan melalui Tor atau I2P. Menjalankan node Anda sendiri — atau setidaknya menggunakan node tepercaya di belakang Tor — menjaga metadata itu di tangan Anda.

Apakah FCMP++ akan mengubah cara cold wallet bekerja?

Upgrade itu menggantikan ring signatures dengan Full-Chain Membership Proofs++ untuk anonymity set yang jauh lebih besar, bersamaan dengan perombakan alamat Seraphis dan Jamtis di roadmap. Model penandatanganan hot/cold itu sendiri tetap sama — Anda akan tetap menyusun online dan menandatangani offline — sehingga setup air-gapped yang dibangun hari ini akan berlanjut dengan mulus.

Bagaimana dengan risiko penyitaan fisik perangkat offline?

Jika perangkat dienkripsi penuh (LUKS atau veracrypt) dan menggunakan passphrase yang kuat selain mnemonic seed, perangkat yang disita tidak segera membongkar dana. Tetap saja, asumsikan perangkat yang lepas dari kendali Anda berpotensi terbongkar — sebar backup seed di lokasi berbeda dan pertimbangkan passphrase seed (kata ke-26) sebagai lapisan tambahan.

Kesimpulan

Cold wallet Monero air-gapped adalah perbedaan antara memiliki privasi Anda dan menyewanya dari siapa pun yang memegang kunci Anda. Setup memakan satu sore dan satu laptop tua, dan sebagai gantinya Anda mendapatkan brankas yang tidak dapat dijangkau penyerang jarak jauh sama sekali — spend key Anda terisolasi, setiap transaksi diperiksa sebelum ditandatangani, dan XMR Anda terlindung dari gelombang delisting berikutnya. Pasangkan dengan binary terverifikasi, backup seed baja, dan node yang dirutekan Tor, dan Anda memiliki penyimpanan yang menyaingi apa pun yang ditawarkan kustodian, tanpa kustodian.

Bagian terakhir adalah mendanainya tanpa memperkenalkan kembali pengawasan yang baru saja Anda enyahkan. Akuisisi Monero Anda melalui swap tanpa-log dan tanpa-KYC sehingga koin mendarat di cold storage dengan riwayat bersih — Anda dapat membeli Monero secara anonim dengan MoneroSwapper dan mengirimkannya langsung ke alamat air-gapped Anda. Bangun wallet terlebih dahulu, danai secara privat kedua, dan kunci Anda tetap milik Anda.