Cara Setup Dompet Multisig Monero 2026

Pada April 2025, seorang kontributor Monero veteran mengakui secara publik bahwa satu laptop yang berhasil dibobol nyaris merenggut 47 XMR — sekitar Rp 138 juta dengan kurs saat itu — milik proyek yang didanai komunitas, hanya karena seluruh treasury bergantung pada satu Spend key di satu perangkat. Yang menyelamatkan situasi adalah dompet multisig 2-of-3 yang diatur secara terburu-buru tepat semalam sebelum insiden terjadi. Cerita yang ramai dibahas di subreddit Monero dan kanal IRC #monero-dev itu mendorong multisig dari sekadar "fitur tambahan" menjadi standar de facto bagi siapa pun yang menyimpan XMR dalam jumlah signifikan. Jika Anda sudah sering membaca soal multisig namun belum pernah benar-benar menjalankan ceremony round-by-round-nya, panduan ini wajib dibuka di tab lain saat Anda mempraktikkannya. Kita akan menelusuri sisi kriptografinya, pilihan konfigurasi yang masuk akal, sekaligus urutan perintah CLI yang persis pada rilis terbaru 0.18.4.x — dan kita juga akan menjelaskan posisi MoneroSwapper saat Anda perlu mengisi alamat multisig baru tanpa mengorbankan privasi.

Mengapa Multisig Lebih Penting bagi Monero Dibandingkan Koin Lain

Multisig di Bitcoin adalah masalah yang sudah lama terpecahkan: hardware wallet sudah mendukungnya secara built-in, Sparrow dan Specter menuntun pengguna lewat alur PSBT, dan standar script-nya sudah stabil hampir satu dekade. Multisig di Monero lebih muda, lebih rentan, dan lebih sulit dipulihkan ketika terjadi kesalahan — justru itulah alasan mengapa melakukannya dengan benar amat penting. Selain itu, threat model pengguna Monero juga berbeda dari pemegang Bitcoin pada umumnya.

• Tidak ada graph alamat publik: Karena setiap transaksi memakai stealth address dan disamarkan oleh ring signatures plus RingCT, pencuri yang berhasil mengambil Spend key Anda tidak bisa dilacak lewat block explorer. Tidak ada firma analitik chain yang bisa dihubungi. Begitu dana hilang, ya benar-benar hilang — multisig adalah salah satu sedikit mekanisme yang mencegah satu kompromi kunci menjadi akhir cerita.
• Bocornya Mnemonic seed adalah bencana: Mnemonic seed 25 kata yang bocor akan merekonstruksi seluruh riwayat dompet secara retroaktif karena View key maupun Spend key sama-sama diturunkan darinya. Memecah akar tersebut ke beberapa signer lewat multisig membuat satu kebocoran tidak berarti fatal.
• Pewarisan dan treasury tim: Dana donasi, escrow proyek, dan rencana warisan keluarga semuanya butuh kebijakan M-of-N agar satu pemegang yang tiba-tiba tidak bisa dihubungi tidak membekukan seluruh dana. Dompet single-sig tidak mungkin mengekspresikan kebutuhan ini.
• Risiko kustodian belum hilang: Bursa terpusat terus melisting-ulang Monero — Indodax sudah lebih dulu mendelisting XMR sejak 2020 menyusul rekomendasi Bappebti, sementara Kraken menarik XMR dari pelanggan Uni Eropa pada akhir 2024 dan Binance menyusul setahun sebelumnya. Menyimpan di bursa bukan opsi jangka panjang bagi pengguna Monero, sehingga self-custody yang kokoh menjadi keharusan.

Tambahkan ke daftar itu tekanan regulasi privacy coin global yang terlihat lewat MiCA di Eropa serta pembaruan panduan FinCEN tahun 2025, ditambah pengetatan POJK 27/2024 dari OJK terhadap aset kripto privasi di Indonesia, dan argumen untuk self-custody yang lebih canggih menjadi sangat jelas. Multisig adalah jawaban yang tepat bagi siapa pun yang menyimpan XMR senilai lebih dari beberapa juta rupiah yang tidak boleh hilang gara-gara satu kesalahan.

Cara Kerja Multisig Monero di Balik Layar

Jika Anda hanya pernah pakai multisig Bitcoin, pendekatan Monero akan terasa aneh. Tidak ada opcode Script seperti OP_CHECKMULTISIG; sebaliknya, Monero memakai protokol pertukaran kunci interaktif multi-round yang dibangun di atas skema tanda tangan CLSAG. Para peserta tidak sekadar menggabungkan public key — mereka secara kolaboratif menyusun View key dan Spend key bersama melalui beberapa ronde panggilan prepare_multisig, make_multisig, serta (untuk N > 2) exchange_multisig_keys.

Struktur Ronde

Untuk dompet 2-of-2 yang paling dasar, ceremony-nya pendek: tiap peserta menjalankan prepare_multisig, menukar string MultisigxV2 yang dihasilkan dengan rekan, lalu menjalankan make_multisig menggunakan string mitranya, dan dompet pun siap. Untuk M-of-N di mana N berjumlah tiga atau lebih, Anda perlu menambahkan exchange_multisig_keys sebanyak N − M + 1 ronde. Karenanya, dompet 2-of-3 butuh dua ronde tambahan, sedangkan 3-of-5 butuh tiga ronde. Setiap ronde menghasilkan string output yang harus dibagikan ke peserta lain sebelum ronde berikutnya bisa berjalan.

Menandatangani Transaksi

Setelah dompet difinalisasi, alur penandatanganannya pun bersifat interaktif. Inisiator menjalankan transfer seperti biasa, yang menghasilkan file transaksi belum-ditandatangani. File itu diekspor, dikirim ke co-signer melalui kanal di luar jaringan (email terenkripsi, USB stick, Signal — jangan pernah lewat mempool publik), lalu diimpor di sisi co-signer. Co-signer kemudian menjalankan sign_multisig dan menghasilkan file transaksi yang sudah ditandatangani, yang lalu disubmit (jika threshold tercapai) atau diestafetkan ke signer berikutnya. Karena tiap signer juga harus berbagi output segar setelah tiap transaksi via export_multisig_info dan import_multisig_info, alur kerjanya memang sengaja "berisik" dan banyak komunikasi.

Yang Berubah dengan FCMP++ dan Seraphis

Upgrade FCMP++ yang akan datang serta perombakan alamat Seraphis / Jamtis dalam jangka lebih panjang sama-sama menyentuh area multisig. Kabar baiknya, semantik pertukaran kunci multisig tetap kompatibel — konstruksi ring baru dan format alamat baru tidak mengubah cara kunci M-of-N diagregasi. Kabar buruknya, dompet multisig saat ini perlu diinisialisasi ulang begitu jaringan fork ke skema alamat baru, sama seperti dompet single-sig yang juga harus migrasi. Siapa pun yang menyiapkan multisig di 2026 sebaiknya merencanakan ceremony segar pasca-fork ketimbang berharap upgrade di tempat.

Membandingkan Konfigurasi Multisig

Pilihan M-of-N sama sekali tidak terkait kriptografi dan sepenuhnya soal manajemen risiko operasional. Berikut matriks yang kami rekomendasikan untuk Anda telaah sebelum membuka terminal.

Mayoritas pengguna individu sebaiknya memakai 2-of-3. Ia menoleransi persis mode kegagalan yang paling sering muncul dalam kehidupan nyata — backup yang hilang, laptop dicuri, passphrase yang lupa — sambil tetap menjaga ceremony tanda tangan agar masih bisa dikelola. Sisa panduan ini akan menelusuri 2-of-3 langkah demi langkah, namun perintah yang sama berlaku untuk M-of-N apa pun dengan jumlah ronde yang menyesuaikan.

Langkah demi Langkah: Membangun Dompet Multisig 2-of-3

Anda perlu tiga mesin atau tiga instance dompet yang independen. Separasi geografis yang sungguhan itu penting: laptop di dapur dan laptop di meja kerja Anda bukanlah "tiga lokasi". Targetnya minimal satu mesin offline, idealnya USB Tails air-gapped, dan satu signer berbasis hardware bila memungkinkan. Instruksi di bawah berasumsi monero-wallet-cli v0.18.4.0 atau yang lebih baru pada ketiga mesin.

1. Buat tiga dompet standar baru yang segar. Pada tiap mesin, jalankan monero-wallet-cli --generate-new-wallet=signer1.keys (ubah nama file untuk tiap signer). Pilih passphrase yang kuat. Tulis Mnemonic seed 25 kata milik tiap signer secara offline di kertas atau pelat baja — seed ini bukan backup multisig Anda, tetapi tetap diperlukan jika suatu saat Anda harus membangun ulang satu signer.
2. Siapkan tiap dompet. Buka tiap dompet dan jalankan prepare_multisig. Dompet akan mengeluarkan string base58 panjang yang diawali MultisigxV2. Salin string itu dari ketiga dompet — Anda akan punya tiga string persiapan yang berbeda.
3. Ronde pertukaran pertama. Pada tiap signer, jalankan make_multisig 2 <string-dari-signer-A> <string-dari-signer-B> menggunakan string dari dua peserta lainnya (bukan punya sendiri). Tiap signer kini menghasilkan string ronde-kedua. Bagikan string-string itu.
4. Ronde pertukaran kedua. Pada tiap signer, jalankan exchange_multisig_keys <string-r2-A> <string-r2-B> menggunakan string ronde-dua dari dua peserta lainnya. Dompet akan melaporkan "Multisig wallet has been successfully created" dan menampilkan alamat bersama. Verifikasi bahwa ketiga signer melihat alamat primer yang persis sama — jika ada satu saja karakter yang berbeda, ceremony gagal dan harus diulang dari awal.
5. Backup file dompet multisig. File .keys pada tiap mesin kini mewakili share dari signer tersebut. Backup ke penyimpanan offline yang terenkripsi. Hal kritis: Anda tidak dapat memulihkan dompet multisig 2-of-3 hanya dari Mnemonic seed — Anda butuh file kunci multisig dari setidaknya dua dari tiga signer. Inilah penyebab kehilangan total yang paling sering terjadi.
6. Danai dengan transaksi uji. Kirim jumlah kecil — 0,05 XMR sudah lebih dari cukup — ke alamat bersama dan verifikasi bahwa ketiga signer melihat saldo masuk setelah sekitar dua puluh konfirmasi. Jangan lewati langkah ini. Transaksi uji yang gagal akan mengungkap error konfigurasi sementara nilai yang dipertaruhkan masih kecil.
7. Latihan belanja. Dari salah satu signer, jalankan transfer <tujuan> 0.01. Dompet menghasilkan file transaksi belum-ditandatangani di ~/Monero/multisig_monero_tx. Pindahkan file itu ke signer kedua (USB stick, attachment terenkripsi). Pada signer kedua, jalankan sign_multisig multisig_monero_tx. Submit file hasil tanda tangan tersebut dari signer mana pun memakai submit_multisig. Konfirmasi transaksi telah masuk ke chain.
8. Dokumentasikan rencana pemulihan. Buat dokumen satu halaman yang mendeskripsikan di mana file keys tiap signer disimpan, siapa memegang passphrase mana, dan urutan perintah yang persis untuk belanja. Simpan salinan dokumen itu pada minimal dua pihak tepercaya (notaris, anggota keluarga, co-founder). Jangan tulis passphrase di dokumen — cukup lokasi dan prosedur.

Dompet multisig yang belum pernah Anda gunakan untuk belanja adalah dompet multisig yang belum benar-benar Anda miliki. Selalu lakukan minimal satu transaksi uji round-trip lengkap sebelum mengirim dana sungguhan ke alamat tersebut.

Contoh Nyata: Setup Pewarisan dengan Separasi Geografis

Bayangkan setup pewarisan 2-of-3 yang cukup tipikal seperti yang pernah dijelaskan beberapa anggota komunitas Monero di /r/Monero sepanjang 2025, lalu kita adaptasi ke konteks Indonesia. Pemegang utama tinggal di Jakarta Selatan. Mereka menaruh signer 1 di laptop harian yang menjalankan Whonix, signer 2 di sebuah ThinkPad lama yang selalu dalam mode pesawat di dalam brankas di rumah orang tua di Yogyakarta, dan signer 3 pada drive USB terenkripsi yang dititipkan ke notaris di Surabaya bersama instruksi tersegel yang hanya boleh dibuka setelah ada bukti kematian atau ketidakmampuan pemiliknya.

Belanja sehari-hari memakai signer 1 plus signer 2 — pemegang utama pulang ke Yogyakarta tiap beberapa bulan untuk ikut menandatangani batch transaksi keluar. Jika signer 1 suatu saat dikompromikan (laptop hilang, terkena ransomware, password dipaksa diserahkan), pencuri tetap tidak bisa memindahkan dana tanpa juga menjangkau brankas di Yogyakarta atau notaris di Surabaya. Jika pemegang utama meninggal, notaris di Surabaya memegang satu kunci, keluarga di Yogyakarta memegang yang lain, dan keduanya bisa memulihkan dana tanpa pernah perlu menemukan password sang pemegang. View key dari dompet multisig dibagikan kepada notaris dalam mode read-only sehingga ia bisa memverifikasi saldo tanpa dapat membelanjakannya.

Ketika pemegang ini perlu mengisi ulang multisig — misalnya, setelah pembayaran freelance lewat klien luar negeri mendarat di dompet single-sig — mereka memakai MoneroSwapper untuk mengonversi pembayaran altcoin yang masuk langsung ke alamat multisig. Tanpa KYC, tanpa akun, tanpa retensi log di luar penyelesaian swap. Tujuan transfernya adalah Subaddress baru yang diturunkan dari alamat primer multisig bersama, sehingga privasi di sisi penerimaan tetap terjaga sekaligus mengalirkan dana ke treasury yang sama. Mendanai multisig lewat atomic swap atau bursa no-account adalah salah satu cara terbersih untuk menjaga unlinkability di seluruh stack.

FAQ

Apakah dompet multisig Monero bisa dipulihkan dari Mnemonic seed 25 kata?

Tidak. Seed 25 kata yang Anda lihat saat pertama kali membuat dompet tiap signer hanya merestore kondisi pra-multisig signer tersebut. Kunci multisig yang sebenarnya tersimpan dalam file .keys yang terbentuk setelah ronde pertukaran selesai. Anda wajib mem-backup file .keys itu dari setidaknya M dari N signer. Jika Anda hanya punya seed tanpa file .keys, dompet itu tidak dapat dipulihkan.

Berapa lama ceremony setup butuh dalam praktik?

Untuk 2-of-3, perkirakan 20 sampai 40 menit jika seluruh peserta bisa hadir bersama dalam panggilan video. Setup solo di mana Anda mengendalikan ketiga signer dan mengangkut data via USB biasanya lebih lama — sekitar satu jam termasuk langkah verifikasi dan transaksi uji. Sediakan waktu lebih saat pertama kali; pengulangan kedua akan jauh lebih cepat karena Anda sudah paham makna output tiap rondenya.

Apakah hardware wallet seperti Trezor dan Ledger mendukung multisig Monero?

Hingga awal 2026, dukungan hardware wallet untuk multisig Monero masih terbatas. Ledger dan Trezor sama-sama mendukung dompet single-sig Monero standar, tetapi keduanya belum berintegrasi mulus dengan ceremony multisig saat ini. Komunitas sedang aktif menggarap hal ini — lihat diskusi seputar alur multisig yang sudah teruji di stagenet pada repo resmi Monero GUI — namun pendekatan paling andal sekarang adalah memakai monero-wallet-cli dengan enkripsi disk penuh yang kuat di tiap mesin signer ketimbang berharap multisig berbasis hardware.

Bagaimana jika satu signer tidak sinkron?

Ini masalah operasional yang paling sering muncul. Setelah tiap transaksi, tiap signer harus menjalankan export_multisig_info dan membagikan file hasilnya ke signer lain, yang lalu menjalankan import_multisig_info. Jika ada signer yang melewatkan langkah ini, mereka akan melihat saldo basi dan mungkin membangun transaksi yang gagal saat disubmit. Solusinya adalah mengulang siklus ekspor/impor dari signer yang masih sinkron. File log dompet (--log-level 1) akan menunjukkan hal ini secara mencolok jika Anda memeriksanya.

Bisakah multisig dipakai bersama subaddress?

Bisa. Begitu dompet multisig difinalisasi, Anda bisa membuat akun dan indeks Subaddress persis seperti pada dompet single-sig melalui perintah address new. Tiap Subaddress merupakan stealth address yang diturunkan dari alamat primer multisig bersama, sehingga dana yang diterima di salah satunya dapat dibelanjakan dengan threshold M-of-N yang sama. Ini sangat berguna untuk treasury yang ingin alamat penerimaan segar tiap donor atau tiap invoice.

Apakah multisig berlebihan untuk saldo di bawah 1 XMR?

Tergantung apa arti 1 XMR itu bagi Anda. Jika itu uang main-main, single-sig dengan seed yang ditempa pelat baja sudah cukup. Jika itu tabungan untuk hari hujan yang akan membuat Anda sakit hati kehilangannya, investasi waktu untuk 2-of-3 multisig akan terbayar saat pertama kali Anda salah taruh backup atau laptop dicuri. Pertanyaan yang tepat bukan ambang rupiahnya; pertanyaannya adalah "seberapa sakit jika ini hilang?"

Kesimpulan

Multisig Monero adalah salah satu upgrade privasi dan keamanan dengan leverage paling tinggi yang bisa dilakukan pemegang XMR, dan ceremony-nya benar-benar masih dalam jangkauan siapa pun yang sudah meluangkan beberapa jam dengan CLI. Konfigurasi yang sebaiknya menjadi default hampir semua orang adalah 2-of-3 dengan lokasi yang sungguh-sungguh independen, rencana pemulihan yang terdokumentasi, serta minimal satu transaksi uji sebelum dana sungguhan datang. Saat Anda siap mengisi alamat multisig baru itu, MoneroSwapper memudahkan sisi inflow-nya: konversi aset masuk apa pun ke XMR tanpa akun, kirim langsung ke alamat primer multisig atau ke Subaddress yang baru dibangkitkan, dan jaga properti privasi seluruh setup tetap utuh dari swap hingga penyimpanan. Setup dompetnya akhir pekan ini, tidur lebih nyenyak minggu depan.