Exchange tidak gagal dengan satu cara. Mereka gagal dengan tujuh cara. Sebagian besar pengguna baru mengenal mode kegagalan berikutnya saat itu menghantam mereka — pelanggan FTX yang bisa menarik di Senin tapi tidak di Rabu, kreditor Mt. Gox yang masih menunggu sebelas tahun kemudian, pengguna di negara yang terkena sanksi yang login dan menemukan saldonya terkunci.
Ini artikel ketiga dalam seri Self-Custody Fundamentals. Yang pertama, not your keys, not your coins, menyampaikan argumennya. Yang kedua, custodial vs. non-custodial wallets, menarik garisnya. Yang ini menginventarisasi mode kegagalan yang sebenarnya — masing-masing kelihatannya seperti apa, kapan pernah terjadi, dan apa yang bisa kamu lakukan sebelum itu menimpamu.
TL;DR
- Exchange adalah custodian. Custodian bisa gagal dengan setidaknya tujuh cara berbeda, dan kegagalan biasanya bertumpuk.
- Tujuh mode: insolvensi, peretasan, pembekuan regulator, exit scam, sanksi, kunci KYC/akun, dan penghentian penarikan.
- Setiap mode punya preseden historis — Mt. Gox, FTX, Celsius, Bitfinex, QuadrigaCX, Bitzlato, BitMart, dan banyak lagi.
- Asuransi, regulasi, dan "audit" tidak menghilangkan mode-mode ini. Mereka mengubah siapa yang menentukan urutan pembayaran dalam kepailitan, bukan apakah kepailitan terjadi.
- Pengaman untuk setiap mode sama — pegang kuncinya sendiri, di perangkat yang tidak bergantung pada satu venue tetap solven, online, dan dalam status hukum yang baik.
Mode 1 — Insolvensi
Exchange kehabisan uang yang seharusnya untuk pelanggan. Ini kegagalan kanonik dan yang paling diremehkan pengguna retail, karena UI exchange terus menampilkan saldo yang benar sampai persis saat penarikan berhenti.
Insolvensi terjadi karena alasan-alasan membosankan yang menjatuhkan bank (pinjaman buruk, mismatch durasi antara hot/cold wallet) dan yang khas crypto (lengan venture yang merangkap market maker, treasury token yang dipakai sebagai jaminan, saldo internal "likuiditas" dalam token rumahan). Kaskade 2022 — Celsius, Voyager, BlockFi, FTX — adalah kaskade insolvensi.
Sinyal yang kamu dapat: penarikan dijeda "untuk mengelola arus keluar", seorang eksekutif men-tweet bahwa dana aman, lalu pengajuan Chapter 11 dua sampai tujuh hari kemudian. Dana tidak aman. Dana sudah dipinjamkan, dijaminkan, atau memang tidak pernah ada sebagai saldo yang dapat diidentifikasi on-chain.
Yang tersisa: klaim, didenominasi dalam apa yang dipilih pengadilan kepailitan (sering kali USD pada tanggal pengajuan, bukan nilai aset saat ini). Kreditor Mt. Gox mulai menerima distribusi pada 2024 — sebelas tahun setelah kepailitan. Pelanggan FTX mendapat hasil lebih cepat dan lebih baik, tapi tetap diselesaikan pada nilai USD tanggal pengajuan, melewatkan pasar bullish berikutnya.
Mode 2 — Peretasan
Hot wallet (atau dalam beberapa kasus cold wallet) exchange dikuras penyerang. Beda dengan insolvensi karena bisnis yang mendasarinya solven pada pagi peretasan; beda dengan exit scam karena operator adalah korban, bukan pelaku.
Contoh historis: Mt. Gox (2014, ~850k BTC), Bitfinex (2016, ~120k BTC, sebagian dipulihkan 2022), Coincheck (2018, $530M NEM), KuCoin (2020, $280M), Bitmart (2021, $200M), Ronin Bridge (2022, $625M), DMM Bitcoin (2024, $305M), WazirX (2024, $230M).
Apa yang terjadi berikutnya tergantung siapa yang menanggung kerugian. Beberapa exchange (Binance via SAFU, Bitfinex via token pasca-hack) mensosialisasikan kerugian dan mengganti pelanggan seiring waktu. Yang lain (Mt. Gox) tidak bisa. Polanya: jika exchange bertahan, akhirnya kamu menerima sebagian, mungkin di bawah 100%. Jika exchange tidak bertahan, lihat Mode 1.
Permukaan serangan umum: kompromi kunci hot wallet (paling sering), social engineering terhadap admin internal, serangan supply-chain pada infrastruktur trading atau penandatanganan, bug smart contract pada bridge yang terhubung. Rasio cold/hot yang dipublikasikan exchange (jika dipublikasikan) adalah indikator parsial, bukan jaminan — lihat kasus WazirX 2024 di mana target adalah infrastruktur penandatanganan multisig, bukan batas wallet.
Mode 3 — Pembekuan regulator
Pengadilan, regulator, atau lembaga pemerintah memerintahkan exchange menghentikan penarikan atau membekukan akun tertentu. Exchange beroperasi normal — solven, tidak diretas — tetapi secara hukum tidak boleh mengembalikan dana sampai perintah diselesaikan.
Muncul dalam dua varian. Terarah: satu akun tertentu dibekukan karena perintah pengadilan, peringatan AML, atau investigasi (sering, biasanya selesai dalam hitungan minggu sampai bulan). Menyeluruh: seluruh exchange atau akun di sebuah negara dibekukan menunggu tindakan regulator.
Contoh varian menyeluruh: BitMEX (2020, tindakan CFTC membatasi pengguna AS), Bittrex (2023, enforcement SEC, pengguna AS punya batas waktu penarikan), Binance.US (2023-2024, tekanan regulator membatasi fitur dan penarikan), berbagai pembekuan pengguna Rusia di exchange Eropa setelah sanksi 2022. Varian terarah adalah suara latar konstan; pengguna baru sadar saat mencoba menarik dan verifikasi ulang KYC tak terduga terpicu.
Apa yang bisa kamu lakukan saat pembekuan: biasanya menunggu. Kadang bisa transfer ke platform lain, kadang tidak. Pembekuan tidak menghapus klaimmu, tetapi berarti aset itu tidak likuid untuk waktu tak tentu — cukup lama hingga harga yang akhirnya kamu terima tak lagi dikenali.
Mode 4 — Exit scam
Operator kabur. Beda dengan peretasan karena exchange sendiri adalah penyerangnya; beda dengan insolvensi karena dananya ada tetapi dialihkan secara sengaja, bukan hilang karena taruhan buruk.
Dua pola historis. Rug langsung: exchange kecil atau menengah offline dalam semalam dengan dana pelanggan menghilang — contoh: WEX (Rusia, 2018, ~$450M setelah relaunch BTC-e), Africrypt (Afrika Selatan, 2021, ~$3.6B diklaim) dan ekor panjang venue lebih kecil. Keluar perlahan: operator meninggal, hilang, atau tidak dapat dihubungi sementara memegang satu-satunya set kunci cold wallet — kasus QuadrigaCX (Kanada, 2019, ~$190M CAD terkunci saat CEO Gerald Cotten meninggal sebagai pemegang tunggal) adalah arketipe; investigasi kemudian menyimpulkan bahwa "kematiannya" sekunder; operasi sudah merupakan penipuan jauh sebelumnya.
Sinyalnya: kepemilikan tidak transparan, hubungan perbankan tidak terdokumentasi, tanpa audit, tanpa proof-of-reserves yang dipublikasikan, batas penarikan yang tidak biasa untuk ukuran yang diklaim. Tak satu pun mendiskualifikasi sendiri, tetapi kombinasinya iya. Berhati-hatilah secara khusus pada exchange di mana satu orang secara publik adalah seluruh perusahaan.
Mode 5 — Sanksi
Akunmu baik-baik saja. Yurisdiksimu tidak. Rezim sanksi — OFAC di AS, padanan di UE, Inggris, PBB — menambahkan negaramu atau seseorang yang terkait padamu ke daftar yang ditunjuk. Exchange sekarang secara hukum wajib memblokir aksesmu, sering tanpa pemberitahuan sebelumnya.
Ini berulang sejak 2022. Pengguna Iran, Rusia, Belarus, dan Venezuela mengalami pemblokiran mendadak di exchange besar saat paket sanksi baru diberlakukan. Penyitaan Bitzlato (Januari 2023, penunjukan FinCEN, akun dibekukan, infrastruktur disita dalam koordinasi dengan otoritas Prancis) adalah contoh yang sangat jelas: exchange itu sendiri adalah entitas yang ditunjuk, dan setiap akun seketika tidak terjangkau.
Sanksi tidak hanya menyasar negara. Alamat Tornado Cash ditunjuk OFAC pada 2022; exchange yang menyentuh alamat yang ditandai meneruskan konsekuensinya kepada pengguna. Jika kamu tinggal di yurisdiksi yang dikenai sanksi, atau bertransaksi dengan alamat yang dikenai sanksi (bahkan tanpa sadar, dengan menerima UTXO yang terkontaminasi), custodian menanggung risiko itu dan menyelesaikannya dengan menutup aksesmu.
Mode 6 — Kunci KYC / akun
Kamu secara individu tunduk pada penahanan KYC atau AML. Kamu tidak dikenai sanksi, exchange tidak dibekukan, tetapi sebuah transaksi atau profil akun memicu peninjauan. Akunmu dikunci menunggu pengajuan dokumen, yang memakan waktu 48 jam hingga tidak pernah.
Pemicu umum: setoran dari alamat "berisiko tinggi" (exchange yang tidak disukai tim compliance, mixer, privacy pool), pola penarikan yang cocok dengan templat structuring, perubahan negara di IP, login dari perangkat baru, perubahan nama di dokumen identitas. Vendor compliance menandaimu, antrean peninjauan menumpuk, dan kamu menunggu.
Sinyalnya: banner di aplikasi, kadang email meminta foto ID terbaru dan selfie. Friksinya adalah intinya — banyak pengguna meninggalkan KYC sebagian dan kehilangan akses sepenuhnya. Untuk akun bernilai lebih tinggi, peninjauan bisa menuntut dokumentasi sumber dana, mutasi rekening bank, dan penjelasan transaksi spesifik dari beberapa tahun lalu.
Risikonya bukan ketidaknyamanan sementara. Risikonya adalah kunci bisa terbuka tanpa batas waktu, dan selama itu asetmu tidak likuid. Exchange tidak melakukan kesalahan secara regulator — mereka melakukan apa yang diminta. Asimetrinya: biayanya kamu yang menanggung.
Mode 7 — Penghentian penarikan
Exchange menjeda penarikan "sementara, untuk maintenance". Kadang itu benar harfiah — rotasi kunci hot wallet, upgrade chain, mitigasi kemacetan — dan penarikan kembali dalam hitungan jam. Kadang itu gejala kasat mata pertama dari Mode 1.
Kamu tidak diberi tahu yang mana sebelumnya. Banner yang sama muncul di kedua kasus. Mt. Gox menghentikan penarikan dengan alasan "transaction malleability" pada Februari 2014 dan pailit tiga minggu kemudian. FTX menghentikan penarikan pada November 2022 dengan alasan "volume sangat tinggi" dan mengajukan Chapter 11 dalam hitungan hari. Celsius menghentikan penarikan pada Juni 2022 dengan alasan "kondisi pasar ekstrem" dan mengajukan Chapter 11 sebulan kemudian.
Inilah mode yang mengubah mode-mode lain dari risiko latar menjadi kerugian langsung. Kamu bisa punya klaim terhadap exchange yang insolven dan memulihkan sebagian. Kamu bisa kehilangan akses dalam blokir sanksi dan mendapatkannya kembali. Tapi selama penghentian — hari-hari atau minggu-minggu sebelum kamu tahu sebenarnya mode mana — asetmu tidak terjangkau. Pola Mt. Gox/FTX/Celsius menunjukkan bahwa waktu antara penghentian penarikan dan pemahaman penuh bisa berkisar 12 jam hingga 11 tahun.
Apa artinya untukmu
Tujuh mode ini bukan kasus pinggir. Mereka adalah mode operasi reguler dari bisnis custodial exchange. Setiap pengguna crypto jangka panjang pernah berada di sisi salah dari setidaknya satu; banyak yang kena beberapa.
Pengaman untuk ketujuhnya sama: pegang kunci yang kamu kontrol, di perangkat yang kamu kontrol, di balik recovery yang kamu pahami. Tidak ada cara cerdik memakai exchange yang menghindari mode-mode ini — mode-mode itu inheren pada modelnya. Kerangka yang tepat adalah operasional: pakai exchange untuk hal yang mereka kuasai (ramp fiat, trading teregulasi, kedalaman), dan jangan menyimpan saldo signifikan di sana lebih lama dari yang perlu.
Multisig 2-of-2 milik SSP mengatasi mode kegagalan setara di sisi self-custody — kehilangan perangkat, kompromi kunci, kehilangan akses saat perjalanan — dengan memecah persyaratan tanda tangan antara dua perangkat alih-alih memusatkannya pada satu. Praktik terbaik seed phrase mencakup lapisan recovery di bawahnya.
Artikel berikutnya dalam seri, what self-custody actually requires of you, adalah padanan jujurnya: sebuah exchange bisa gagal dengan tujuh cara, dan self-custody bisa gagal dengan beberapa cara sendiri. Intinya bukan bahwa salah satu bebas risiko. Intinya, kamu yang memilih kumpulan risiko mana yang kamu pikul.
