Monero View Key vs Spend Key: Penjelasan Lengkap
Monero View Key vs Spend Key: Penjelasan Lengkap
Jika Anda pernah mencoba memberikan bukti setoran Monero kepada konsultan pajak tanpa menyerahkan seluruh tabungan, Anda sudah pernah berhadapan langsung dengan masalah yang diselesaikan oleh kedua kunci ini. Tidak seperti Bitcoin, di mana satu kunci privat mengendalikan segalanya — dari saldo hingga otorisasi pengeluaran — Monero secara sengaja memisahkan kewenangan antara view key dan spend key. Pemisahan inilah yang memungkinkan sebuah privacy coin tetap dapat diaudit ketika dibutuhkan, mendukung halaman donasi dengan saldo publik, dan menggerakkan dompet seluler ringan yang tidak pernah benar-benar menyentuh dana Anda. Sayangnya, banyak pengguna baru di Indonesia masih sering menyamakan keduanya, menempelkan kunci ke kolom yang salah, atau mengira bahwa membagikan satu kunci akan membocorkan keduanya. Di tahun 2026, dengan FCMP++ yang sudah masuk roadmap testnet dan layanan seperti MoneroSwapper yang menangani ribuan swap tanpa KYC setiap harinya, memahami pemisahan kunci ini bukan lagi sekadar latihan akademis. Ini adalah perbedaan antara jejak audit yang rapi dan dompet yang ludes. Panduan ini akan menjelaskan secara rinci apa yang dilakukan setiap kunci, apa yang tidak bisa dilakukannya, dan bagaimana primitif kriptografi Monero mengubah pasangan kunci ini menjadi sesuatu yang tidak dapat ditiru oleh model kunci tunggal milik Bitcoin.
Mengapa Monero Menggunakan Dua Kunci Privat, Bukan Satu
Model akun Monero diwariskan dari CryptoNote, protokol tahun 2013 yang memperkenalkan ring signatures dan one-time stealth addresses ke dunia kriptokurensi. Agar primitif tersebut dapat berfungsi, dompet perlu menjalankan dua pekerjaan yang sangat berbeda: memindai seluruh blockchain untuk mengenali output yang ditujukan kepadanya, dan mengotorisasi pembelanjaan output tersebut. Para perancang CryptoNote menyadari bahwa peran pemindaian dan peran pembelanjaan dapat dipisahkan menjadi dua nilai skalar independen, yang masing-masing diturunkan dari seed 32 byte namun secara kriptografis tidak berhubungan dalam efek publiknya.
Hasilnya adalah sebuah identitas dompet yang terdiri dari empat angka — private spend key, private view key, beserta dua pasangan publik mereka — yang digabung dan dikodekan dalam base58 menjadi alamat Monero 95 karakter yang sudah familiar. Pemisahan ini memberikan tiga manfaat konkret:
- Transparansi selektif: Anda dapat menyerahkan view key kepada Direktorat Jenderal Pajak, tim kepatuhan bursa, atau auditor lembaga amal, sehingga mereka dapat memverifikasi dana masuk tanpa mendapatkan kemampuan apa pun untuk memindahkan koin.
- Klien ringan: dompet seluler dan node desktop watch-only hanya memerlukan view key untuk menampilkan saldo, sehingga menyimpan spend key di mesin air-gapped secara cold storage tetap praktis untuk penggunaan sehari-hari.
- Pertahanan berlapis: view key yang bocor hanya membocorkan riwayat transaksi, bukan dana itu sendiri; pemulihan dari perangkat yang dicuri menjadi insiden privasi, bukan kerugian finansial total.
Tidak satupun dari hal ini mungkin dilakukan dalam model UTXO Bitcoin tanpa pihak ketiga yang dipercaya atau tambahan zero-knowledge. Monero memasukkannya langsung ke dalam protokol, dan itulah mengapa setiap dompet Monero — dari CLI resmi hingga mesin swap MoneroSwapper — menampilkan kedua kunci sebagai objek kelas satu yang dapat Anda ekspor, impor, dan audit secara independen.
Private View Key, Secara Mendalam
Private view key adalah skalar 32 byte, ditampilkan sebagai 64 karakter heksadesimal di tools seperti monero-wallet-cli atau Feather Wallet. Tugas kriptografisnya hanya satu: menghitung shared secret antara pengirim dan penerima dari setiap transaksi yang mungkin dimiliki dompet. Ketika seseorang mengirimkan XMR kepada Anda, pengirim akan menghasilkan stealth address satu kali pakai menggunakan public spend key Anda, public view key Anda, dan transaction key acak yang baru. Output yang dihasilkan tampak seperti derau (noise) bagi setiap pengamat di jaringan — kecuali bagi Anda, karena private view key memungkinkan Anda merekonstruksi shared secret yang sama dan mengenali output tersebut sebagai milik Anda.
Apa yang Bisa Dilakukan View Key
Dengan hanya bermodalkan alamat publik dan private view key Anda, perangkat lunak dapat memindai chain dan mendekripsi tiga informasi per output: stealth address penerima (membuktikan bahwa output tersebut milik Anda), jumlahnya (didekripsi dari komitmen RingCT), dan payment ID jika dilampirkan. Itu sudah cukup untuk membangun riwayat transaksi masuk yang lengkap. Bisnis memanfaatkannya untuk memantau penjualan, halaman donasi menerbitkan view key mereka agar siapa pun dapat memverifikasi total secara real time, dan perangkat lunak pajak menggunakannya untuk menghasilkan laporan cost-basis tanpa pernah meminta otoritas pengeluaran.
Apa yang Tidak Bisa Dilakukan View Key
View key tidak bisa menandatangani transaksi. Ia tidak bisa menghasilkan key image, yang berarti tidak bisa membuktikan bahwa sebuah output telah dibelanjakan. Pada dompet view-only, transaksi keluar tidak terlihat sampai pengguna mengimpor file key-image yang ditandatangani dari dompet pengeluaran offline; setelah itu saldo akan direkonsiliasi. Inilah demonstrasi paling jelas dari pemisahan kunci dalam praktik — view key melihat uang masuk, tetapi kehilangan jejaknya begitu uang itu keluar, kecuali sisi spend ikut bekerja sama dengan membagikan key image.
Kesalahan Umum Seputar View Key
Kesalahan yang paling sering terjadi adalah menempelkan view key ke kolom "restore wallet" yang sebenarnya mengharapkan mnemonic seed. Dompet akan menerima inputnya, menurunkan spend key yang sama sekali berbeda dari entropi yang salah, dan menampilkan dompet bersih namun tidak berguna yang tidak pernah melihat dana asli pengguna. Jebakan kedua adalah mempublikasikan view key di halaman publik tanpa menyadari bahwa hal itu secara permanen menghubungkan setiap transaksi masuk — baik di masa lalu maupun yang akan datang — ke identitas dunia nyata. View key tidak bisa dirotasi; sekali bocor, ia bocor selamanya. Perlakukan ia seperti token API read-only ke rekening koran bank Anda: berguna bagi auditor, mengerikan bagi pelaku stalking.
Private Spend Key, Secara Mendalam
Private spend key adalah skalar 32 byte lainnya, dan inilah yang benar-benar mengendalikan koin. Dari satu angka inilah dompet menurunkan key image untuk setiap output yang dimilikinya, menandatangani setiap CLSAG ring signature, dan menghasilkan range proofs Bulletproofs+ yang menunjukkan jumlah transaksi adalah non-negatif tanpa mengungkapkan nilainya. Kehilangan spend key sama dengan kehilangan uang. Tidak ada pemulihan, tidak ada customer support, tidak ada rollback chain. Sekali hilang, selamanya hilang.
Bagaimana Spend Key Menghasilkan Key Image
Untuk setiap output yang diterima dompet, Monero menghitung key image — sebuah hash deterministik yang bergantung pada public key satu kali pakai milik output tersebut sekaligus private spend key milik dompet. Karena key image bersifat unik per output namun tidak bisa dipalsukan tanpa spend key, ia berfungsi sebagai mekanisme pencegahan double-spend pada Monero. Saat sebuah transaksi disiarkan, para validator memeriksa bahwa tidak satu pun key image di dalamnya pernah muncul di chain sebelumnya. Bagian cerdiknya adalah bahwa key image yang sama tidak bisa dilacak kembali ke dompet yang menghasilkannya, karena ring signature menyembunyikan penandatangan sejati di antara sekumpulan decoy.
Spend Key dan Mnemonic Seed
Kebanyakan pengguna tidak pernah melihat spend key mentah berformat 64-hex itu. Yang mereka lihat adalah mnemonic seed 25 kata (atau Polyseed 16 kata pada dompet generasi baru) yang mengkodekan spend key beserta checksum dan birthday. View key kemudian diturunkan secara deterministik dari spend key dengan cara mem-hash menggunakan Keccak-256 dan mereduksinya modulo orde grup Ed25519. Penurunan ini menjelaskan mengapa mencadangkan spend key (atau seed-nya) sudah cukup untuk memulihkan seluruh dompet — view key akan ikut secara otomatis.
Mengapa Anda Tidak Boleh Membagikan Spend Key
Membagikan spend key secara fungsional sama dengan mengirimkan seluruh saldo dan seluruh riwayat transaksi Anda kepada orang lain dalam satu langkah. Situs phishing yang meminta "kunci verifikasi dompet" atau "kunci restore penuh" hampir selalu mengincar spend key atau seed. Tidak ada bursa, layanan swap, atau perusahaan audit yang sah yang akan pernah membutuhkannya. MoneroSwapper, misalnya, menghasilkan integrated address baru untuk setiap swap dan tidak pernah menyentuh spend key pelanggan; pelanggan sendiri yang menandatangani dan menyiarkan transaksi setoran dari dompet mereka sendiri.
View Key vs Spend Key: Perbandingan Berdampingan
Tabel di bawah ini meringkas perbedaan praktisnya. Gunakan sebagai daftar periksa sebelum Anda menempelkan salah satu nilai ke dalam kolom, layar, atau pemindai QR mana pun.
| Kemampuan | Private View Key | Private Spend Key |
|---|---|---|
| Melihat transaksi masuk | Ya | Ya (lewat view key turunan) |
| Melihat transaksi keluar | Hanya dengan key image yang diimpor | Ya |
| Mendekripsi jumlah | Ya | Ya |
| Menandatangani dan menyiarkan transaksi | Tidak | Ya |
| Menghasilkan key image | Tidak | Ya |
| Menurunkan kunci yang satunya | Tidak | Ya (view key diturunkan dari spend) |
| Aman dibagikan ke auditor | Ya | Tidak pernah |
| Risiko bila bocor | Kehilangan privasi, dana aman | Kehilangan dana total |
| Tersimpan dalam mnemonic seed | Diturunkan, tidak disimpan | Ya |
| Bisa dirotasi | Tidak | Tidak (harus memindahkan dana ke dompet baru) |
Perhatikan asimetri pada baris "Menurunkan kunci yang satunya". Spend key dapat menghasilkan view key, tetapi tidak sebaliknya. Hubungan satu arah inilah yang membuat view key aman untuk dipublikasikan dalam konteks yang akan menjadi malapetaka bagi spend key.
Cara Membuat Dompet View-Only, Langkah demi Langkah
Alasan paling umum untuk memikirkan kedua kunci ini adalah membangun dompet watch-only — misalnya, di ponsel yang memantau saldo cold storage yang disimpan di laptop air-gapped. Berikut alur kerjanya menggunakan monero-wallet-cli resmi, meskipun Feather Wallet, Cake Wallet, dan MyMonero juga menyediakan versi GUI yang setara.
- Pada mesin offline, buka dompet utuh Anda dan jalankan perintah
viewkeydi prompt. Salin string 64-hex tersebut. Jalankan perintahaddressdan salin alamat utama 95 karakter. Jangan mengekspor spend key, seed, atau apa pun selain itu. - Pindahkan kedua string tersebut ke perangkat online melalui kode QR atau USB yang dipakai air-gapped. Jangan pernah mengetik spend key atau seed pada mesin online.
- Pada mesin online, jalankan
monero-wallet-cli --generate-from-view-key <nama>. Saat diminta, tempelkan alamat dan private view key. Atur kata sandi dompet yang kuat. - Biarkan dompet melakukan sinkronisasi mulai dari tinggi chain saat dana Anda pertama kali diterima. Anda akan melihat transaksi masuk muncul dengan jumlah yang benar. Transaksi keluar akan tampil sebagai "(unknown sent)" sampai Anda mengimpor key image.
- Untuk merekonsiliasi saldo keluar, jalankan
export_key_imagessecara berkala di dompet offline danimport_key_imagesdi dompet online. Langkah ini tidak membagikan daya beli — hanya fakta bahwa output tertentu sudah dibelanjakan.
View key menjawab pertanyaan "apa yang masuk?" Spend key menjawab pertanyaan "apa yang boleh keluar?" Jika sebuah layanan meminta Anda untuk menjawab pertanyaan kedua, segera tinggalkan — tidak ada alur kerja yang jujur memerlukannya.
Skenario Dunia Nyata untuk Setiap Kunci
Contoh konkret membantu memantapkan pemahaman. Bayangkan sebuah proyek open-source kecil yang menerima donasi XMR. Para pengelola menerbitkan alamat utama beserta private view key mereka di halaman transparansi proyek. Siapa pun dapat menjalankan dompet view-only lokal, mensinkronkan chain, dan secara mandiri memverifikasi berapa banyak donasi yang diterima proyek pada kuartal ini. Pengelola tetap memegang kendali eksklusif atas spend key di perangkat keras, sehingga tidak ada donor — maupun mantan pengelola yang meninggalkan proyek — yang pernah bisa menguras dana. Ini adalah pola transparansi donasi klasik, dan persis seperti itulah yang sudah dipakai bertahun-tahun oleh Monero Community Crowdfunding System.
Skenario yang berbeda: seorang jurnalis lepas yang tinggal di Indonesia ingin menunjukkan kepada konsultan pajaknya bahwa pendapatan XMR tahunannya berada di bawah ambang batas pelaporan PPh. Ia membuat dompet view-only di laptop audit milik konsultan menggunakan alamat dan view key-nya, membiarkannya bersinkron hingga blok terkini, lalu mengekspor CSV jumlah-jumlah masuk yang telah didekripsi. Konsultan melihat total nominalnya; sang jurnalis tetap memegang otoritas pengeluaran. Apabila hubungan profesional itu berakhir, ia memindahkan dana ke dompet baru — tetapi semata-mata karena menginginkan pemisahan bersih, bukan karena konsultan pernah memiliki kemampuan untuk memindahkan koin.
Contoh ketiga melibatkan pemulihan. Misalkan ponsel daily-driver seorang pengguna dicuri di Jakarta, dan ponsel itu memuat dompet view-only yang diturunkan dari spend key yang diamankan perangkat keras. Pencuri mendapatkan riwayat transaksi masuk pengguna secara lengkap — sebuah kerugian privasi yang nyata, terutama jika pengguna menerima pembayaran rutin dari pihak yang bisa diidentifikasi — namun tidak dapat menyentuh satu piconero pun. Pengguna tidak bisa "mencabut" apa pun di chain (Monero tidak memiliki mekanisme revocation), sehingga ia memindahkan dana ke alamat baru yang diturunkan dari seed baru. View key lama tetap valid selamanya untuk transaksi-transaksi yang sudah dilihatnya, tetapi dompet baru tidak terlihat olehnya.
Di ketiga skenario, properti yang sama berlaku: view key menjawab pertanyaan historis dan terkini tentang uang yang diterima; sedangkan spend key yang bisa menjawab pertanyaan tentang kemana uang itu boleh pergi selanjutnya. Alur swap MoneroSwapper bersandar pada properti yang sama — pelanggan menerima XMR di alamat yang sepenuhnya mereka kendalikan dari ujung ke ujung, dan tidak pada satu titik pun platform akan meminta kunci yang akan memungkinkan mereka membelanjakan dana atas nama pelanggan.
Pertanyaan Umum (FAQ)
Apakah seseorang bisa mencuri Monero saya jika hanya memegang view key?
Tidak. View key memberikan visibilitas terhadap transaksi masuk dan jumlahnya, tetapi tidak mengizinkan penandatanganan, pembuatan key image, atau tindakan apa pun yang memindahkan dana. View key yang bocor adalah masalah privasi — setiap setoran masa lalu dan masa depan akan terlihat oleh siapa pun yang memilikinya — namun dana itu sendiri tetap dikendalikan secara eksklusif oleh spend key.
Mengapa dompet view-only saya tidak bisa melihat transaksi keluar?
Karena transaksi keluar dideteksi dengan mencocokkan key image, dan key image hanya bisa dihasilkan dari private spend key. Dompet view-only melihat sebuah output itu ada, tetapi tidak dapat mengetahui apakah output tersebut telah dibelanjakan. Mengimpor file key-image yang sudah ditandatangani dari dompet pengeluaran menjembatani celah ini dan merekonsiliasi saldo.
Apakah view key diturunkan dari spend key, atau keduanya independen?
Pada dompet Monero standar, view key diturunkan secara deterministik dari spend key dengan cara mem-hash menggunakan Keccak-256 lalu mereduksi hasilnya modulo orde grup Ed25519. Itulah sebabnya mnemonic seed 25 kata hanya mengkodekan spend key — view key muncul secara otomatis. Beberapa konfigurasi lanjutan menggunakan view key independen, tetapi setiap dompet konsumen memakai bentuk turunan ini.
Apakah saya perlu mencadangkan kedua kunci secara terpisah?
Mencadangkan seed (atau spend key mentah) sudah cukup, karena view key selalu dapat dibangkitkan ulang darinya. Namun, banyak pengguna tetap menyimpan salinan terpisah dari view key di lokasi yang dapat diakses auditor, justru karena tindakan tersebut tidak melemahkan postur keamanan mereka. Perlakukan seed seperti uang tunai dan view key seperti rekening koran bank yang read-only.
Bisakah saya merotasi view key jika bocor?
Tidak bisa secara mandiri. View key terikat secara matematis pada alamat, sehingga merotasinya berarti harus membuat dompet baru (seed baru, spend key baru, alamat baru) dan memindahkan dana ke sana. Rencanakan kebocoran view key sebagai peristiwa privasi permanen untuk masa hidup dompet tersebut, dan siapkan anggaran untuk migrasi apabila eksposurnya sudah tidak bisa ditoleransi.
Apakah hardware wallet seperti Ledger atau Trezor menangani spend key secara berbeda?
Ya. Pada Ledger atau Trezor yang menjalankan aplikasi Monero, spend key tidak pernah keluar dari secure element. Komputer host hanya menyimpan view key (sehingga bisa memindai chain) dan mengirimkan transaksi yang belum ditandatangani ke perangkat, yang kemudian menandatanganinya secara internal. Ini adalah perwujudan fisik paling jelas dari pemisahan kunci: view key tinggal di tempat kenyamanan berada, dan spend key tinggal di tempat keamanan berada.
Kesimpulan
View key dan spend key bukanlah dua paruh dari rahasia yang sama — keduanya adalah dua rahasia berbeda dengan dua pekerjaan berbeda, dan protokol Monero memperoleh sebagian besar properti pentingnya justru dari menolak menggabungkan keduanya. Begitu pemisahan ini terasa logis, dompet view-only, alur audit, transparansi donasi, dan arsitektur hardware wallet berhenti terasa seperti trik cerdik dan mulai terasa sebagai konsekuensi yang wajar dari desain yang matang. Jika Anda sedang menyiapkan dompet baru hari ini, tuliskan seed secara offline, turunkan view key untuk perangkat mana pun yang tidak perlu membelanjakan, dan jangan pernah menempelkan salah satu nilai itu ke kolom yang tidak dapat Anda identifikasi dengan pasti. Ketika Anda siap memperoleh XMR untuk dompet itu, MoneroSwapper menawarkan swap tanpa KYC dari aset-aset utama langsung ke alamat yang Anda kendalikan, tanpa pernah meminta kunci apa pun di titik mana pun dalam alurnya — yang, setelah membaca panduan ini, adalah perilaku yang seharusnya Anda harapkan dari layanan mana pun yang layak digunakan.
🌍 Baca dalam