Membeli kripto di dalam SSP: mesin agregator dijelaskan

·6 mnt baca·Oleh SSP Editorial Team
Sampul SSP Academy: membeli kripto di dalam SSP dan cara kerja mesin agregator

Membeli kripto di dalam SSP: mesin agregator dijelaskan

Ketika Anda menekan Beli / Jual di SSP, Anda tidak sedang membeli kripto dari SSP. SSP tidak menjual apa pun kepada Anda, tidak menerima detail kartu Anda, dan tidak memegang uang Anda barang sedetik pun. Yang sebenarnya terjadi jauh lebih menarik, dan memahaminya akan menunjukkan dengan tepat ke mana kepercayaan Anda mengalir.

Panduan ini menyusuri jalur masuk (on-ramp) dari ujung ke ujung: apa yang dilakukan tombol itu, siapa sebenarnya pihak lawan Anda, dan satu trik kriptografis yang dipakai SSP untuk memastikan koin yang Anda beli hanya bisa mendarat di dompet Anda.

Tombol itu, langkah demi langkah

Dari layar utama dompet, Beli / Jual membuka sebuah jendela modal. Sebelum apa pun dimuat, Anda disodori layar persetujuan yang meminta Anda mengakui risiko memakai layanan pihak ketiga. Gerbang itu memang disengaja: segala sesuatu di baliknya adalah kasir teregulasi milik orang lain, bukan milik SSP.

Setujui, dan dompet akan memuat widget penyedia langsung di dalam ekstensi. Anda tidak dilempar keluar ke sebuah situs web. Alur pembelian — memilih mata uang fiat, metode pembayaran, memasukkan data Anda — berlangsung di panel tertanam itu, dan ketika selesai, kripto dikirimkan on-chain ke alamat SSP Anda.

Dari siapa Anda sebenarnya membeli

Widget itu adalah Onramper, dan Onramper sendiri adalah sebuah agregator. Ia juga tidak menjual kripto kepada Anda. Ia mengagregasi sederet penyedia on-ramp fiat teregulasi, membandingkan mereka untuk mata uang, aset, dan metode pembayaran yang Anda pilih, lalu merutekan pembelian Anda ke salah satu di antaranya.

Jadi rantai pihak lawan tampak seperti ini:

Anda → Onramper (agregator) → penyedia fiat teregulasi → blockchain → alamat SSP Anda.

Pelapisan itu penting karena tiga alasan praktis:

  • KYC adalah milik penyedia, bukan milik SSP. Ketika widget meminta dokumen identitas Anda, permintaan itu datang dari bisnis teregulasi yang memproses pembayaran. SSP tidak pernah menerima, menyimpan, atau melihat apa pun dari itu.
  • Ketersediaan adalah urusan penyedia, bukan SSP. Negara mana, mata uang fiat mana, metode pembayaran mana, dan aset mana yang ditawarkan ditentukan oleh daftar penyedia dan lisensi mereka. Dua orang yang membuka layar yang sama di negara berbeda bisa melihat pilihan yang berbeda. (Ada satu artikel utuh dalam seri ini tentang hal itu — lihat panduan cakupan.)
  • Harga adalah milik penyedia. Kurs yang ditawarkan kepada Anda sudah memuat selisih (spread) dan biaya mereka di atas harga pasar. SSP tidak menetapkannya dan tidak mengambil potongan darinya.

Yang memang disediakan SSP adalah pipa salurannya — dan satu bagian keamanan yang sangat spesifik.

Bagian yang melindungi Anda: alamat tujuan yang ditandatangani

Inilah mode kegagalan yang seharusnya dikhawatirkan oleh setiap widget pembayaran tertanam. Widget itu diberi tahu ke mana harus mengirimkan koin. Jika seorang penyerang bisa mengutak-atik tujuan tersebut — menulis ulangnya di URL, menyuntikkannya ke dalam frame — Anda akan membayar dengan uang sungguhan dan kripto akan mendarat di dompet dia. Anda akan telah membelikan koin untuk orang lain.

SSP menutup lubang itu secara kriptografis. Sebelum widget dimuat, dompet mengirimkan jaringan dan alamat penerima Anda ke SSP Relay, yang menandatanganinya dengan tanda tangan HMAC-SHA256 memakai rahasia yang dibagi dengan Onramper. Muatan yang ditandatangani — pada praktiknya networkWallets=<jaringan>:<alamat Anda> — diserahkan ke widget bersama tanda tangannya.

Hasilnya: alamat tujuan terautentikasi. Widget hanya akan membayarkan ke alamat yang telah ditandatangani. Alamat yang diutak-atik tidak membawa tanda tangan yang sah, dan pembelian tidak akan diselesaikan ke sana. SSP Relay tidak pernah melihat kunci Anda — ia menandatangani sebuah alamat penerima publik, yang bukan rahasia dan tidak memberi siapa pun kuasa membelanjakan.

Ini layak diresapi karena ia membalik nasihat yang biasa. Pada kebanyakan alur "beli kripto", Anda menempelkan alamat tujuan lalu memeriksanya tiga kali sendiri. Di sini, dompetlah yang menegaskan alamat itu untuk Anda dan membuktikan bahwa alamat tersebut tidak diubah di tengah jalan.

Apa yang tidak pernah disentuh SSP

Daftarnya pendek, dan inilah yang penting:

  • Kunci dan seed Anda. Tidak pernah meninggalkan perangkat Anda. On-ramp tidak membutuhkannya dan tidak bisa memintanya. Alur "pembelian" apa pun yang meminta frasa seed Anda adalah percobaan phishing, titik.
  • Detail kartu dan bank Anda. Dikumpulkan oleh penyedia teregulasi di dalam kasir mereka sendiri.
  • Dokumen identitas Anda. Sama saja.
  • Kustodi koin setelah pengiriman. Begitu penyedia menyiarkan transaksinya, aset itu berada di alamat Anda, di bawah multisig 2-dari-2 Anda. Tak seorang pun — bukan SSP, bukan Onramper, bukan penyedia — bisa memindahkannya tanpa kedua perangkat Anda menandatangani.

Perhatikan apa yang absen dari daftar itu: tidak sekali pun Anda menandatangani transaksi untuk membeli. Membeli adalah transfer masuk. Tanda tangan Anda tidak diperlukan, karena tidak ada yang keluar dari dompet Anda. Hal itu berubah di sisi penjualan, dan itulah hal pertama yang dibahas artikel berikutnya dalam seri ini.

Sebelum Anda membeli: daftar periksa singkat

  • Periksa jaringannya, bukan sekadar tickernya. Anda membeli aset di sebuah rantai. Membeli USDC di satu jaringan lalu mengharapkannya di jaringan lain adalah cara klasik untuk berakhir menatap saldo kosong. Widget itu dibatasi pada rantai yang sedang Anda pilih di dompet — pastikan itu memang rantai yang Anda inginkan.
  • Baca total yang ditawarkan. Spread dan biaya penyedia sudah melekat di dalam kurs. Angka yang perlu dibandingkan adalah berapa banyak kripto yang benar-benar mendarat, bukan kurs pajangannya.
  • Harapkan KYC, dan harapkan ia berbeda-beda. Pembelian dengan kartu di satu negara bisa instan; transfer bank di negara lain bisa memakan hari dan lebih banyak dokumen. Itu adalah proses penyedia.
  • Mulai dari kecil pada metode pembayaran baru. Pembelian pertama lewat jalur baru mana pun adalah pembelian yang memunculkan kejutan-kejutan. Pembelian uji coba kecil hanya memakan sedikit spread dan membelikan Anda kepastian.
  • Pastikan koinnya sampai di dompet, bukan cuma di widget. Widget yang berkata "berhasil" berarti pembayarannya lolos. Aset itu menjadi milik Anda ketika sudah terkonfirmasi on-chain di alamat Anda.

Di mana posisi semua ini

Membeli adalah arah yang mudah: uang masuk, koin keluar, tanpa tanda tangan, tanpa serah terima kustodi setelah pengiriman. Dua alur lainnya dalam seri ini berbeda secara berarti — menjual berarti menandatangani kripto keluar kepada seorang penyedia dan menunggu uang fiat, dan swap di dalam dompet menyerahkan dana Anda kepada penukar terpusat selama perjalanannya. Keduanya menaruh sesuatu milik Anda di tangan orang lain untuk sementara waktu. Hanya on-ramp yang tidak melakukannya.

Untuk gambaran yang lebih luas tentang bagaimana beli, jual, dan swap saling berkaitan, mulailah dari ikhtisar di Menukar kripto dari SSP. Untuk mekanisme apa yang terjadi begitu koin sudah ada di dompet Anda, lihat Mengirim Bitcoin dengan SSP.

Bagikan artikel ini

Artikel terkait