Beberapa Tips Cara Mengamankan Akun MetaMask Kalian
- Secret Recovery Phrase adalah satu-satunya kunci akun MetaMask kamu — backup sekarang sebelum terlambat, dan simpan di tempat yang hanya kamu yang tahu.
- Cabut izin akses DApp yang sudah tidak digunakan, terutama yang pernah kamu berikan unlimited token approval — ini salah satu celah paling umum yang dimanfaatkan untuk menguras wallet.
- Tidak ada platform, admin, atau support MetaMask yang akan pernah meminta Secret Recovery Phrase kamu — kalau ada yang meminta, itu penipuan tanpa terkecuali.
Jika kalian menggunakan MetaMask untuk menyimpan kripto, maka kalian harus menjaga keamanannya seketat mungkin.
MetaMask sendiri sebenarnya sudah aman, namun kita sebagai pengguna harus sadar bahwa ada beberapa hal yang dapat membuat kita kehilangan akses ke akun kita.
Contohnya adalah ketika kita lupa melakukan backup secret recovery phrase, maka kita akan benar-benar kehilangan akun secara permanen. Atau ketika kita tidak sengaja memasukkan frasa pemulihan ke situs yang salah — dalam hitungan menit akun bisa dikuras habis.
Ancaman terhadap pengguna MetaMask nyata dan terus berkembang. Modus penipuannya makin canggih dari tahun ke tahun — dari ekstensi palsu, phishing di Discord dan Telegram, sampai scam yang memanfaatkan token approval yang sudah diberikan bertahun-tahun lalu dan terlupakan.
Nah, untuk menghindari hal-hal semacam itu, kalian dapat mengikuti beberapa tips di bawah ini untuk mengamankan akun MetaMask kalian.
Selalu Unduh MetaMask dari Situs Resminya
MetaMask merupakan aplikasi dan ekstensi dompet Ethereum yang sangat terkenal dan digunakan oleh jutaan pengguna di seluruh dunia.
Karenanya, ada banyak pihak tidak bertanggung jawab yang membuat aplikasi dan ekstensi tiruan MetaMask. Ekstensi MetaMask palsu masih cukup banyak beredar di Chrome Web Store — tampilannya bisa sangat mirip dengan yang asli, tapi begitu kalian memasukkan Secret Recovery Phrase, seluruh aset langsung berpindah ke tangan pembuatnya.
Untuk menghindari hal tersebut, selalu unduh MetaMask dari situs resminya di metamask.io. Dari sana tinggal pilih apakah kalian ingin mengunduh MetaMask untuk Firefox, Chrome, Android atau iOS.
Untuk yang menggunakan ekstensi browser, cek juga publisher-nya di Chrome Web Store — pastikan publisher-nya tertulis MetaMask dan jumlah penggunanya sudah jutaan. Jangan pernah install dari tautan yang ada di email, Discord, Telegram, atau hasil iklan di mesin pencari.
Backup Secret Recovery Phrase Kalian
Langkah pertama yang harus kalian lakukan untuk mengamankan akun MetaMask adalah mem-_backup secret recovery phrase_ kalian.
Secret recovery phrase adalah 12 kata bahasa Inggris yang terhubung dengan akun kalian. Kalian dapat menggunakannya untuk mengembalikan akun MetaMask jika terjadi sesuatu yang buruk pada komputer atau HP kalian.
Jika kalian tidak menyimpan backup ke-12 kata ini, maka kalian akan kehilangan akses ke akun MetaMask beserta dengan seluruh koin di dalamnya secara permanen — tidak ada cara untuk memulihkannya.
Caranya: klik menu Settings > Security & Privacy > Reveal Secret Recovery Phrase. Kemudian catat 12 kata yang muncul di layar.
Soal cara menyimpannya: tulis di kertas dan simpan di tempat yang aman. Jangan simpan sebagai screenshot — galeri foto yang tersync ke cloud adalah salah satu celah yang sering dieksploitasi. Jangan simpan di aplikasi catatan biasa yang tidak terenkripsi. Kalau ingin digital, gunakan password manager seperti Bitwarden.
Dan satu hal yang tidak bisa ditekankan cukup keras: tidak ada siapapun yang legitimate akan meminta Secret Recovery Phrase kalian. Tidak ada support MetaMask, tidak ada admin Discord, tidak ada siapapun. Kalau ada yang meminta — itu penipuan, titik.
Kunci MetaMask Saat Sudah Tidak Digunakan
Browser merupakan salah satu aplikasi yang paling sering kita gunakan — untuk nonton YouTube, baca artikel, media sosial, dan seterusnya.
Nah, terkadang ada banyak orang yang setelah menggunakan MetaMask untuk bertransaksi di Uniswap atau DeFi lainnya, tidak mengunci MetaMask-nya kembali. Akibatnya siapapun yang duduk di depan komputer kalian — atau kalau komputer kalian diakses dari jarak jauh lewat malware — bisa langsung melakukan transaksi.
Untuk mengunci MetaMask, caranya sangat mudah. Klik gambar profil akun kalian kemudian klik tombol Lock.
Lebih baik lagi: aktifkan fitur auto-lock di Settings > Security & Privacy. Atur agar MetaMask otomatis terkunci setelah beberapa menit tidak ada aktivitas. Ini kebiasaan kecil yang dampaknya besar.
Hapus Akses dari Situs yang Sudah Tidak Digunakan
Jika kalian menghubungkan MetaMask dengan situs-situs DEX seperti Uniswap, dan kemudian berpikir untuk tidak menggunakannya lagi dalam waktu lama, lebih baik dihapus saja akses situs tersebut dari MetaMask kalian.
Caranya: klik tanda titik tiga yang ada di samping nama akun MetaMask kalian, lalu klik menu Connected Sites. Lalu klik ikon sampah yang ada di samping nama situs. Situs tersebut tidak akan memiliki akses ke MetaMask kalian sampai kalian menghubungkannya kembali.
Cabut Token Approval yang Tidak Diperlukan
Ini bagian yang sering terlewat, bahkan oleh pengguna yang sudah cukup lama menggunakan MetaMask.
Setiap kali kalian berinteraksi dengan DApp — baik itu DEX, protokol lending, atau platform NFT — kalian biasanya diminta untuk memberikan token approval: izin bagi DApp tersebut untuk mengakses token tertentu di wallet kalian. Banyak DApp yang meminta izin unlimited — artinya mereka bisa menarik token tersebut dalam jumlah berapapun, kapanpun, selama izin itu masih aktif.
Masalahnya, kalau DApp tersebut kemudian diretas atau ternyata berbahaya, izin yang sudah kalian berikan bisa dimanfaatkan untuk menguras token dari wallet kalian — bahkan tanpa kalian sadari.
Untuk mengecek dan mencabut izin yang sudah tidak diperlukan, gunakan tools seperti revoke.cash. Masukkan alamat wallet kalian, dan kalian akan melihat daftar lengkap semua izin aktif yang pernah diberikan. Cabut yang sudah tidak relevan — terutama yang unlimited.
Ini kebiasaan yang sebaiknya dilakukan secara berkala, setidaknya beberapa kali dalam setahun.
Waspadai Phishing dan Scam di Media Sosial
Ini mungkin ancaman yang paling besar saat ini — dan korbannya tidak terbatas pada pemula saja.
Modus yang paling umum: seseorang menghubungi kalian di Discord, Telegram, atau Twitter/X dengan menawarkan sesuatu yang terdengar menggiurkan — airdrop gratis, kesempatan whitelist NFT eksklusif, atau “bantuan teknis” karena ada masalah dengan wallet.
Mereka kemudian mengarahkan kalian ke sebuah situs dan meminta kalian menghubungkan MetaMask atau memasukkan Secret Recovery Phrase.
Tidak ada airdrop yang meminta Secret Recovery Phrase. Tidak ada whitelist yang perlu verifikasi frasa pemulihan. Kalau ada situs yang meminta itu, tutup langsung.
Selain itu, waspadai juga address poisoning — modus di mana penyerang mengirim sejumlah sangat kecil crypto ke wallet kalian dari alamat yang tampilannya sangat mirip dengan alamat yang sering kalian gunakan.
Tujuannya agar kalian tidak sengaja menyalin alamat penyerang dari riwayat transaksi. Biasakan selalu menyalin alamat tujuan dari sumber yang tepercaya, bukan dari riwayat transaksi.
Pertimbangkan Hardware Wallet untuk Aset Besar
Kalau nilai aset yang kalian simpan di MetaMask sudah cukup signifikan, pertimbangkan untuk menggunakan hardware wallet seperti Ledger atau Trezor sebagai lapisan keamanan tambahan.
Hardware wallet menyimpan private key secara offline — tidak terhubung ke internet kecuali saat melakukan transaksi. Ini membuatnya jauh lebih sulit untuk diretas dibanding MetaMask yang berjalan di browser.
Cara pakainya: MetaMask tetap digunakan sebagai antarmuka untuk berinteraksi dengan DApp, tapi setiap transaksi harus dikonfirmasi secara fisik di perangkat hardware wallet. Ini artinya bahkan kalau komputer kalian sudah terinfeksi malware, penyerang tidak bisa melakukan transaksi tanpa akses fisik ke hardware wallet kalian.
Untuk penggunaan sehari-hari dengan jumlah kecil, MetaMask saja sudah cukup. Tapi untuk aset yang nilainya sudah ratusan juta ke atas, kombinasi MetaMask dengan hardware wallet adalah standar yang banyak digunakan pengguna berpengalaman.
Pertanyaan yang Sering Ditanyakan
Apa yang harus dilakukan kalau akun MetaMask kena hack?
Kalau aset sudah terlanjur dipindahkan, kemungkinan besar tidak bisa dikembalikan — transaksi blockchain bersifat permanen. Yang bisa dilakukan: segera buat wallet baru dengan Secret Recovery Phrase yang berbeda, dan pastikan tidak ada izin aktif yang tersisa di wallet lama. Pelajari bagaimana cara hacker bisa masuk — apakah dari phishing, malware, atau frasa yang bocor — agar tidak terulang.
Apakah MetaMask bisa diretas dari jarak jauh tanpa tahu Secret Recovery Phrase?
Secara langsung tidak — enkripsi MetaMask cukup kuat. Tapi ada beberapa cara tidak langsung: malware di komputer yang mencuri data MetaMask, phishing yang mengelabui pengguna memasukkan frasa di situs palsu, atau DApp berbahaya yang sudah mendapat token approval tak terbatas. Semua ini bisa dicegah dengan kebiasaan yang tepat.
Apa itu token approval dan kenapa berbahaya?
Token approval adalah izin yang kamu berikan ke sebuah DApp untuk mengakses token tertentu di wallet kamu. Kalau izinnya unlimited, DApp tersebut secara teknis bisa menarik semua token yang kamu setujui kapan saja — bahkan setelah kamu berhenti menggunakannya. Selalu cabut izin yang tidak lagi dibutuhkan lewat tools seperti revoke.cash.
Apakah aman menyimpan banyak aset di MetaMask?
Aman, selama keamanannya dijaga dengan ketat. Untuk aset yang nilainya sudah sangat besar, banyak yang menggunakan kombinasi MetaMask untuk transaksi harian dengan hardware wallet seperti Ledger atau Trezor sebagai penyimpanan utama. Hardware wallet menyimpan private key secara offline sehingga tidak bisa dicuri via internet.
Bagaimana cara tahu apakah MetaMask yang terinstall di browser saya asli atau palsu?
Cek publisher ekstensi di Chrome Web Store atau Firefox Add-ons — pastikan publisher-nya adalah 'MetaMask' dan jumlah penggunanya sudah jutaan. Bisa juga verifikasi dengan mengunjungi metamask.io langsung dan klik tautan unduhan resmi dari sana. Jangan install dari tautan yang ada di email, chat, atau iklan.
