SSP Editorial Team

Apa Itu WalletConnect dan Bagaimana Ia Bekerja dengan SSP

·7 mnt baca·Oleh SSP Editorial Team
Kode QR WalletConnect yang menghubungkan ekstensi browser SSP Wallet dan aplikasi seluler SSP Key dengan sebuah dApp.

Apa Itu WalletConnect dan Bagaimana Ia Bekerja dengan SSP

Jika kamu pernah membuka sebuah exchange terdesentralisasi, sebuah marketplace NFT, atau sebuah aplikasi pinjaman dan melihat tombol "Connect Wallet" di sebelah sebuah QR code, kamu sudah berkenalan dengan WalletConnect. Ia adalah pipa yang tenang yang menghubungkan dompet swakelola dengan aplikasi yang benar-benar dipakai orang. Bagi pengguna SSP, pertanyaannya bukan hanya "apa itu WalletConnect" tetapi "apa yang berubah dari keamananku ketika aku memakainya, dan apa yang tetap sama?"

Jawaban singkatnya: WalletConnect adalah pintu. Kunci-kuncimu, dan perlindungan 2-of-2 SSP, tetap berada persis di tempat mereka semula.

Apa Sebenarnya WalletConnect Itu

WalletConnect adalah protokol terbuka untuk memindahkan permintaan tanda tangan antara sebuah aplikasi terdesentralisasi (sebuah dApp) dan sebuah dompet. Ia bukan kustodian. Ia tidak menahan dana. Ia tidak melihat frasa seed atau kunci pribadimu. Ketika sebuah dompet dan sebuah dApp terhubung melalui WalletConnect, dua titik akhir membangun sebuah sesi terenkripsi melalui jaringan relay, dan pesan-pesan berjalan bolak-balik di sesi itu. Relay hanya melihat blok terenkripsi; hanya dua titik akhir yang bisa membacanya.

Ia dipakai hampir di mana-mana dalam ekosistem, karena itulah satu alur di sisi dompet membawa kamu melintasi ratusan aplikasi tanpa harus mempelajari alur baru setiap kali. Protokolnya didokumentasikan secara terbuka di docs.walletconnect.com, dan kamu bisa menemukan katalog panjang aplikasi kompatibel WalletConnect lewat ethereum.org/en/dapps.

Alur Dasarnya, Langkah demi Langkah

Ritual koneksi hampir selalu sama, terlepas dari dApp mana yang kamu pakai.

  1. dApp menampilkan opsi "Connect Wallet" dan menyodorkan sebuah QR code, atau — jika kamu di ponsel — sebuah deep link.
  2. Kamu membuka SSP, memilih menghubungkan ke sebuah dApp, dan memindai QR code (atau mengikuti tautan).
  3. SSP memperlihatkan apa yang diminta dApp: sebuah sesi, alamatmu, jaringan tempat kamu terhubung.
  4. Kamu menyetujui sesi tersebut. Sekarang ada saluran terenkripsi yang terbuka antara SSP dan dApp.
  5. Ketika kamu melakukan tindakan apa pun di dApp yang membutuhkan tanda tangan — sebuah swap, sebuah persetujuan token, sebuah penyetoran — dApp mengirim permintaan tanda tangan lewat saluran tersebut. SSP memperlihatkan persis apa yang sedang diminta.
  6. Kamu memutuskan. Jika kamu menyetujui, proses penandatanganan berjalan di SSP dan transaksi yang telah ditandatangani dikembalikan ke dApp, yang menyiarkannya.
  7. Setelah selesai, kamu memutuskan sesi.

Hal penting yang perlu diperhatikan: dApp tidak pernah meminta kunci pribadimu. Ia meminta tanda tangan. Setiap tanda tangan adalah keputusan terpisah yang kamu ambil di dompetmu.

Bagaimana Model Penandatanganan Diterapkan pada SSP

Di sinilah SSP mengubah gambaran dengan cara yang sebagian besar dompet tidak bisa. Pada dompet bertanda tangan tunggal biasa, setiap permintaan tanda tangan adalah satu persetujuan di antarmuka dompet — cepat, tetapi juga satu titik kegagalan tunggal. Jika satu perangkat itu disusupi atau kamu menyentuh "setuju" pada permintaan yang bermusuhan, tanda tangan terjadi.

SSP adalah dompet multisig 2-of-2. Kunci 1 tinggal di ekstensi browser SSP Wallet. Kunci 2 tinggal di ponselmu di aplikasi seluler SSP Key. Setiap transaksi membutuhkan kedua kunci, setiap kali. Model itu tidak hilang ketika kamu memakai WalletConnect — ia diperluas ke sana.

Ketika sebuah dApp mengirim permintaan tanda tangan melalui WalletConnect:

  • Permintaan pertama-tama tiba di ekstensi SSP Wallet di komputermu.
  • Kamu meninjau apa yang diminta dApp untuk kamu tandatangani — kontrak, jumlahnya, jaringannya, calldata bila kamu memilih menampilkannya.
  • Kamu menyetujuinya di ekstensi. Ekstensi menghasilkan bagiannya dari tanda tangan.
  • Permintaan didorong ke SSP Key di ponselmu untuk turut menandatangani. Kamu melihat detail yang sama di sana.
  • Kamu menyetujuinya di ponsel. SSP Key menghasilkan bagiannya.
  • Kedua bagian bergabung menjadi satu tanda tangan yang sah, yang dikembalikan ke dApp.

Di jaringan UTXO, hal ini terjadi sebagai tanda tangan multisig BIP-48; di jaringan EVM (Ethereum, Polygon, Base, BNB Smart Chain, Avalanche) ia adalah tanda tangan 2-of-2 yang diagregasikan dengan Schnorr, yang diverifikasi oleh sebuah smart account ERC-4337. Kriptografi berbeda, sifat yang sama: dua perangkat, dua persetujuan, satu transaksi. Jika kamu ingin pembacaan lebih dalam di sisi EVM, lihat arsitektur account abstraction SSP, dan untuk konsep dasarnya, apa itu multisig 2-of-2.

Sebuah dApp phishing yang menipu ekstensi tetap harus melewati ponselmu. Itulah seluruh maksudnya.

Implikasi Keamanan yang Perlu Kamu Ketahui

WalletConnect tidak melemahkan keamananmu; ia mengubah apa yang harus kamu perhatikan. Risiko-risiko di bawah ini tidak unik untuk WalletConnect, tetapi dApp yang terhubung adalah tempat umum untuk menjumpainya.

dApp phishing. Siapa pun bisa membangun situs yang tampak seperti protokol populer dan memintamu untuk terhubung. Dompet tidak punya cara untuk mengetahui mana yang asli. Selalu konfirmasi bahwa kamu berada di domain yang benar sebelum terhubung. Tandai aplikasi yang kamu pakai sebagai bookmark; jangan menavigasi ke sana dari iklan pencarian atau tautan di chat.

Permintaan tanda tangan jahat. Setelah sebuah sesi terbuka, sebuah dApp bisa meminta tanda tangan sesuka hati. Sebuah antarmuka swap bisa menyodorkan persetujuan token yang memberi kontrak asing izin untuk menguras saldo token. Bacalah apa yang ditampilkan SSP. Jika permintaan tanda tangan tampak asing — kontrak yang tidak kamu kenali, persetujuan tanpa batas, transfer ke alamat yang bukan milikmu — tolak. Tinjauan 2-of-2 di ponselmu adalah kesempatan keduamu untuk menangkapnya.

Penandatanganan buta. Kadang data yang ditandatangani buram — string hex panjang yang tidak terurai menjadi field yang bisa dibaca manusia. Perlakukan permintaan tanda tangan buta dengan kecurigaan. Pilih aplikasi yang menampilkan maksud yang bisa dibaca dari apa yang kamu tandatangani.

Kebingungan antara tautan dan aplikasi. WalletConnect adalah protokol. Banyak dompet mengimplementasikannya. Situs yang berkata "Use WalletConnect" bukan sinyal kepercayaan terhadap merek tertentu — ia adalah standar pipa. Jangan menyamakan "dApp memakai WalletConnect" dengan "dApp aman".

Izin yang berlingkup. Sebuah sesi bisa dibatasi pada jaringan dan metode tertentu. Ketika SSP menampilkan permintaan sesi, lihatlah apa yang sedang diminta. Tidak ada salahnya menolak sesi yang meminta lebih dari yang sebenarnya dibutuhkan aplikasi.

Sesi basi. Sesi yang kamu lupakan tetap merupakan sesi. Jika frontend sebuah dApp kemudian disusupi, sesi aktif adalah pijakan. Biasakan diri untuk memutuskan ketika selesai.

Kebiasaan Konkret yang Membuat Ini Berjalan

Beberapa disiplin kecil menjaga pemakaian WalletConnect-mu tetap bersih.

  • Verifikasi URL dApp sebelum memindai QR code koneksi. Ketik nama domain alih-alih mengeklik tautan dari chat atau iklan.
  • Baca setiap permintaan tanda tangan. Kontrak apa yang sedang dipanggil? Di jaringan apa? Berapa jumlahnya? Persetujuan token tanpa batas adalah hal berbeda dari yang berjumlah tetap — keduanya bisa sah, tetapi kamu harus tahu yang mana yang sedang kamu tandatangani.
  • Pakai konfirmasi di ponsel sebagai tatapan kedua. Jika permintaannya tampak baik di komputer tetapi salah di ponsel, tolak. Dua perangkat berarti dua kesempatan untuk menyadari.
  • Putuskan sesi ketika kamu selesai. SSP memberimu daftar sesi; perlakukan ia seperti daftar pintu yang terbuka.
  • Pilih aplikasi bereputasi dengan riwayat audit. Cenderunglah pada protokol yang sudah ada lama, yang menerbitkan audit, dan yang tidak menuntut alur masuk di luar handshake WalletConnect standar.
  • Jauhkan frasa seed-mu dari setiap alur dApp. Tidak ada dApp sah yang pernah membutuhkan frasa seed-mu. Permintaan tanda tangan adalah cara dApp berbicara dengan dompetmu; apa pun yang meminta seed adalah penipuan. Lihat praktik terbaik frasa seed untuk bacaan lebih dalam.
  • Jika kamu terhubung di Ethereum, aturan-aturan khas jaringan yang sama tentang gas, nonce, dan interaksi kontrak berlaku — Ethereum di SSP membahas detail sisi jaringan.

Mengikat Semuanya

WalletConnect adalah pintu antara SSP dan ekosistem dApp. Ia terenkripsi, sumber terbuka, dan dipakai oleh sebagian besar dompet dan protokol yang akan kamu temui. Ia tidak mengubah di mana kunci-kuncimu tinggal, dan ia tidak melemahkan model 2-of-2 SSP. Setiap transaksi yang diminta sebuah dApp tetap harus melewati baik ekstensi browser-mu maupun ponselmu — itulah sifat keamanan yang kamu beli ketika memilih SSP, dan ia berjalan bersamamu di setiap dApp yang kamu hubungkan.

Kunci-kunci tetap bersamamu. Pintu hanya terbuka selagi kamu berjalan melaluinya.

Bagikan artikel ini

Artikel terkait

Alur beli, jual, dan swap SSP di atas wallet multisig 2-of-2

Menukar crypto dari SSP: beli, jual, dan swap dijelaskan

Beli, jual, dan swap dari SSP: bagaimana on-ramp, off-ramp, aggregator dalam-wallet, dan dApp DEX berbeda, sementara multisig 2-of-2 menandatangani semua.

7 min read
Ilustrasi persegi sebuah kuotasi swap berubah menjadi jumlah akhir berbeda akibat price impact dan slippage.

Slippage dan price impact, dijelaskan

Mengapa swap selesai di harga berbeda dari kuotasi, apa yang dilakukan slippage tolerance, dan cara memikirkannya di SSP.

7 min read
Ilustrasi persegi menunjukkan pola serangan sandwich MEV

MEV: Frontrunning, Sandwiching, dan Cara Melindungi Diri Anda

MEV dijelaskan untuk pengguna self-custody: apa itu frontrunning dan serangan sandwich, siapa yang berisiko, dan kebiasaan yang mengurangi paparan Anda.

7 min read