Apakah Bisq Aman? Ulasan Keamanan Jujur 2026

Pada April 2022, seorang penyerang mengeksploitasi celah pada salah satu protokol perdagangan Bisq dan kabur dengan sekitar 250.000 USD dalam bentuk BTC dan XMR sebelum jaringan membekukan transaksi. Bisq selamat, menambal bug tersebut, dan diam-diam terus beroperasi. Empat tahun kemudian, pertanyaan yang sama terus muncul di forum privasi dan di Reddit: apakah Bisq masih menjadi pilihan yang aman dan tahan sensor seperti yang dahulu dijanjikan, atau lanskapnya sudah bergerak meninggalkannya? Ulasan ini membedah risiko nyata — desain protokol, status non-kustodian, arsitektur baru Bisq 2, privasi pada sisi fiat, dan bagaimana Bisq dibandingkan dengan layanan swap instan seperti MoneroSwapper bagi pengguna yang tujuan utamanya adalah konversi BTC ke XMR yang bersifat pribadi.

Jawaban singkatnya bernuansa. Secara teknis, Bisq adalah salah satu bursa yang paling meminimalkan kepercayaan (trust-minimised) yang masih beroperasi, tetapi "aman" bergantung pada ancaman mana yang Anda khawatirkan. Kehilangan dana karena peretasan? Identitas dibocorkan oleh rekan transaksi fiat? Rekening bank Anda ditandai sebagai mencurigakan oleh OJK atau bank itu sendiri? Setiap pertanyaan ini memiliki jawaban yang berbeda, dan sebagian besar ulasan daring mencampuradukkan ketiganya. Di sini kami pisahkan dengan benar.

Apa Itu Bisq di Tahun 2026

Bisq adalah jaringan perdagangan peer-to-peer yang dibangun di atas Tor, dengan dua versi yang hidup berdampingan. Bisq v1 (yang asli) menggunakan escrow Bitcoin multisig 2-dari-2 ditambah deposit jaminan agar kedua pihak tetap jujur selama perdagangan fiat-ke-kripto. Bisq 2 — dirilis versi stabilnya pada 2024 dan kini menjadi default yang direkomendasikan untuk pengguna baru — memperkenalkan beberapa "protokol perdagangan", termasuk Bisq Easy (tanpa escrow, berbasis reputasi, dirancang untuk pengguna pemula dengan jumlah kecil) dan Bisq MuSig (protokol multisig yang disempurnakan untuk perdagangan yang lebih besar). Kedua versi bersifat sumber terbuka, keduanya merutekan setiap koneksi melalui layanan tersembunyi Tor, dan tidak satu pun memerlukan verifikasi identitas pada platform itu sendiri.

• Tidak ada operator pusat: tidak ada perusahaan Bisq yang menahan dana Anda. Jaringan ini adalah federasi peer yang menjalankan klien desktop.
• Tor secara default: setiap penawaran, pesan, dan langkah perdagangan melewati onion routing; tidak ada fallback ke clearnet.
• Model deposit jaminan: pada v1 dan MuSig, baik maker maupun taker mengunci agunan sehingga kabur dari transaksi memiliki biaya nyata.
• Arbitrase dilakukan manusia: sengketa diserahkan kepada mediator terpilih dan, bila perlu, arbitrator — bukan mesin AML otomatis.
• Berpusat pada BTC: Bisq tetap utamanya menjadi tempat perdagangan Bitcoin. Monero didukung sebagai aset yang diperdagangkan di kedua sisi, tetapi koordinasi penyelesaian masih bergantung pada konfirmasi rantai Bitcoin.

Arsitektur tersebut menjawab pertanyaan keamanan pertama: bisakah platform ini kabur membawa uang Anda? Tidak. Tidak ada yang bisa dibawa kabur, karena tidak ada platform dalam arti kustodian. Itu saja sudah menempatkan Bisq di kategori yang sangat berbeda dari Indodax, Tokocrypto, atau bursa "tanpa KYC" tersentralisasi mana pun.

Rekam Jejak Keamanan yang Sebenarnya

Sejarah Bisq merupakan stress test yang berguna karena, tidak seperti kebanyakan bursa terdesentralisasi, ia benar-benar pernah diserang dalam produksi dan berhasil bertahan.

Eksploitasi protokol April 2022

Insiden 2022 tetap menjadi peristiwa utama. Penyerang menemukan bahwa alamat yang digunakan sebagai fallback pada perdagangan yang disengketakan dapat diganti secara diam-diam, dan dalam satu akhir pekan mereka menguras sekitar 3 BTC dan 4.000 XMR sebelum jaringan dijeda. Bisq DAO (badan tata kelola on-chain yang membayar kontributor dalam token BSQ) memilih untuk memberi ganti rugi kepada pengguna yang terdampak melalui pendapatan biaya perdagangan di masa depan. Dalam hitungan minggu protokol ditambal dan perdagangan v1 dilanjutkan. Tidak ada kunci yang dicuri, tidak ada pengguna yang identitasnya dibocorkan — tetapi beberapa orang kehilangan dana pada perdagangan aktif mereka.

Pelajaran yang patut diserap: escrow multisig yang bergantung pada transaksi fallback yang dikodekan dengan benar hanya seaman kode validasinya. Respons Bisq — post-mortem publik, rencana kompensasi yang divoting oleh DAO, dan patch terbuka — adalah seperti apa seharusnya sistem trust-minimised. Bandingkan dengan keheningan yang biasa mengikuti sebagian besar eksploitasi bursa tersentralisasi.

Risiko rutin sejak 2022

Sejak perbaikan 2022, insiden berskala besar telah berhenti, tetapi masalah-masalah kecil terus membentuk keamanan pengguna:

• Chargeback dari sisi bank: di Indonesia, transfer BI-FAST yang final dalam hitungan detik memangkas risiko ini untuk transaksi dalam negeri, tetapi transfer SKN atau RTGS lintas hari kerja, GoPay/OVO/DANA dengan jendela sengketa, dan metode internasional apa pun dengan jendela pembalikan tetap menjadi vektor nyata. Penjual yang menerima Rupiah dapat melihat dana ditarik kembali berhari-hari kemudian.
• Pelaporan oleh rekan transaksi: pembeli yang berniat buruk dapat melaporkan transfer ke banknya sebagai "penipuan", sehingga rekening penjual ditandai meskipun arbitrase Bisq berpihak kepada penjual. Bank Indonesia melalui PPATK juga memperhatikan pola transfer P2P yang tidak biasa.
• Gangguan Tor: Bisq sepenuhnya bergantung pada jaringan Tor. Masalah Tor yang berkepanjangan — seperti kemacetan layanan onion v3 pada 2023 — berarti perdagangan macet di tengah jalan.
• Klien yang ketinggalan zaman: pengguna yang menjalankan klien lebih dari beberapa versi minor tertinggal akan melewatkan tambalan keamanan dan berisiko melihat penawaran usang.

Jika perdagangan Bisq berjalan buruk, skenario terburuknya jarang berupa "kripto Anda hilang" — biasanya berupa "rekening koran bank Anda kini berisi serangkaian transfer tidak biasa." Rencanakan sisi fiat Anda terlebih dahulu.

Realitas Privasi vs Pemasaran Privasi

Bisq sering digambarkan sebagai "sepenuhnya pribadi", yang merupakan pernyataan berlebihan. Platform itu sendiri tidak pernah melihat identitas asli Anda, tetapi siklus perdagangan mengekspos informasi kepada rekan transaksi Anda dan, secara tidak langsung, kepada bank Anda.

Di Bisq, Anda dan orang di sisi lain transaksi bertukar apa pun yang diperlukan oleh metode pembayaran yang dipilih. Untuk transfer bank lokal di Indonesia itu berarti nama lengkap, nomor rekening BCA/Mandiri/BRI/BNI, dan kadang nama bank tujuan. Untuk DANA atau OVO, nomor telepon. Untuk transfer SEPA dari rekan Eropa, IBAN lengkap. Klien Bisq tidak pernah mengirimkan ini ke server, tetapi rekan transaksi tetap melihatnya — dan rekan transaksi bisa saja aparat penegak hukum, perusahaan analisis blockchain, atau sekadar seseorang yang menyimpan log. Untuk perdagangan BTC, jejak on-chain juga terlihat oleh dunia melalui alamat deposit multisig, yang sudah dikelompokkan sebagai terkait Bisq oleh beberapa vendor forensik blockchain.

Untuk perdagangan Monero, cerita privasinya jauh lebih baik. Begitu XMR Anda mendarat di dompet Anda, ring signatures, stealth addresses, dan RingCT menghapus jejaknya. Tetapi sisi BTC dari swap BTC-ke-XMR di Bisq tetap dapat diidentifikasi sebagaimana transaksi Bitcoin lainnya. Pengguna yang menginginkan jalur keluar yang benar-benar pribadi biasanya memasangkan Bisq dengan dompet yang mendukung churning atau, semakin sering, mengalihkan BTC langsung ke layanan swap yang mengirimkan XMR ke alamat baru.

Bisq vs Layanan Swap Instan: Perbandingan Praktis

Bagi sebagian besar pengguna yang mencari "apakah Bisq aman", pertanyaan mendasarnya adalah apakah perlu menggunakan Bisq sama sekali, atau apakah swap instan seperti MoneroSwapper, FixedFloat, atau SimpleSwap memberikan hasil yang sama dengan friksi lebih rendah. Jawaban jujurnya bergantung pada trade-off mana yang dapat Anda toleransi.

Properti	Bisq (v1 / MuSig)	Bisq Easy	Swap instan (mis. MoneroSwapper)
Kustodi selama perdagangan	Multisig 2-dari-2, non-kustodian	Berbasis reputasi, pengirim mempercayai taker	Layanan menahan kustodi sebentar
Identitas di platform	Tidak ada	Tidak ada (Tor saja)	Tidak ada untuk tingkatan tanpa KYC
Identitas ke rekan transaksi	Ya (data fiat)	Ya (data fiat)	Tidak (Anda hanya melihat alamat swap)
Waktu penyelesaian BTC→XMR	30 menit hingga beberapa jam	15–45 menit	Umumnya 10–30 menit
Biaya	0,1–0,7% + biaya miner	Dinegosiasikan	Spread 0,5–1,5%, tanpa biaya tetap
Eksposur chargeback	Tinggi (sisi bank)	Tinggi	Tidak ada — kripto-ke-kripto
Batas	Hingga ~1 BTC, lebih tinggi dengan usia akun	Hanya kecil (biasanya < 0,01 BTC)	Batas per transaksi lebih tinggi tanpa KYC
Risiko keamanan realistis	Penandaan oleh bank, bug protokol	Gagal bayar rekan transaksi	Insolvensi atau penyitaan layanan

Yang sebenarnya ditunjukkan tabel itu: Bisq mengoptimalkan ketiadaan kepercayaan di lapisan protokol tetapi mendorong risiko ke jalur fiat. Swap instan menyerap risiko perdagangan untuk spread kecil tetapi memperkenalkan kembali momen kustodian. Tidak ada yang "lebih aman" secara abstrak — keduanya lebih aman terhadap ancaman yang berbeda. Pengguna yang berfokus pada privasi, yang sudah memegang BTC dan hanya ingin XMR, hampir selalu akan memiliki pengalaman yang lebih mulus dan berisiko lebih rendah di layanan swap. Pengguna yang perlu masuk ke ekonomi kripto dengan uang tunai, BI-FAST, atau rekening bank yang ia kendalikan masih memiliki Bisq sebagai salah satu dari sedikit pilihan non-KYC yang kredibel.

Daftar Periksa Keamanan Sebelum Berdagang di Bisq

Jika Anda sudah memutuskan Bisq adalah alat yang tepat, urutan berikut merangkum tindakan pencegahan yang secara konsisten direkomendasikan oleh pedagang berpengalaman di forum Bisq dan r/Bisq. Daftar ini tidak menyeluruh, tetapi melewatkan salah satu langkah inilah yang biasanya menjadi sumber kerugian yang sebetulnya dapat dihindari.

1. Verifikasi biner. Unduh hanya dari bisq.network, kemudian verifikasi tanda tangan PGP terhadap kunci para maintainer. Pemasang Bisq palsu ada di setiap mesin pencari utama.
2. Gunakan dompet baru. Pakai dompet Bisq khusus, bukan cold storage jangka panjang Anda. Klien Bisq menyimpan kunci untuk agunan perdagangan; perlakukan seperti hot wallet.
3. Pilih metode pembayaran dengan hati-hati. BI-FAST, transfer real-time domestik, dan uang tunai fisik memiliki risiko chargeback lebih rendah. Hindari metode mirip PayPal sepenuhnya.
4. Berdagang dengan maker berpengalaman. Klien Bisq menampilkan usia akun dan status penandatanganan. Saring penawaran dari akun yang lebih muda dari dua bulan untuk apa pun di atas jumlah uang saku.
5. Gunakan klien terbaru. Setiap rilis berisi perbaikan tingkat protokol. Menjalankan versi di bawah dua minor terakhir adalah risiko nyata.
6. Rencanakan tujuan XMR Anda. Untuk perdagangan BTC→XMR, siapkan dompet penerima (Feather, Cake, atau subaddress Monero CLI) sebelum Anda memulai transaksi. Salah ketik alamat di jendela perdagangan tidak dapat dipulihkan.
7. Biarkan jendela perdagangan terbuka. Perdagangan Bisq memerlukan kedua klien online untuk konfirmasi. Offline di tengah perdagangan adalah penyebab sengketa yang paling umum.
8. Dokumentasikan semuanya. Tangkap layar referensi transfer bank, ID perdagangan, dan pesan Tor. Jika arbitrase dipanggil, inilah yang pertama kali ditanyakan mediator.

Bagi pedagang yang tujuan sebenarnya adalah leg BTC-ke-XMR tanpa eksposur fiat, daftar periksa yang sama runtuh menjadi dua langkah: kirim BTC ke layanan swap, terima XMR ke subaddress Monero baru. MoneroSwapper adalah salah satu tempat yang melakukan swap ini tanpa KYC dan merutekan sisi masuk melalui mirror yang dapat diakses Tor, sehingga jejak operasionalnya sebanding dengan perdagangan Bisq dikurangi eksposur jalur bank.

Studi Kasus: Seorang Pedagang Indonesia, Dua Rute

Bayangkan seorang pengguna yang sadar privasi di Jakarta yang sudah memiliki 0,3 BTC di cold wallet dan ingin mengonversinya ke XMR untuk holding jangka panjang. Dua rute realistis pada 2026 terlihat sangat berbeda.

Rute A — Bisq MuSig. Pengguna mendanai dompet desktop Bisq dari cold storage, membayar biaya perdagangan dalam BSQ untuk menekan biaya, memasang penawaran menjual BTC dengan IDR melalui transfer BCA atau Mandiri, dan menunggu. Seorang taker muncul dalam 90 menit. Mereka bertukar rincian rekening bank lewat Tor, pengguna menerima Rupiah, melepaskan BTC, lalu membuka transaksi kedua menawarkan IDR untuk XMR. Total waktu yang dihabiskan: sekitar enam jam dalam dua sesi. Total biaya: sekitar 0,4%. Hasil privasi: rekan transaksi melihat nama lengkap dan nomor rekening pengguna; bank pengguna kini memiliki dua transfer masuk dan keluar tidak biasa dalam 48 jam. XMR-nya sendiri bersifat pribadi, tetapi jejak fiat di sekitarnya tidak.

Rute B — Swap instan. Pengguna mengirim 0,3 BTC dari UTXO hasil CoinJoin ke alamat swap di MoneroSwapper, menentukan subaddress Monero baru sebagai tujuan, dan menerima XMR dalam sekitar 20 menit. Tidak ada keterlibatan fiat, tidak ada pesan rekan transaksi, tidak ada catatan bank. Total biaya: kira-kira biaya mining BTC ditambah spread 0,8%. Hasil privasi: sisi BTC membawa riwayat apa pun yang dimiliki UTXO masukan; sisi XMR bersifat pribadi sejak ia mendarat. Tidak ada sidik jari fiat sama sekali.

Rute A "lebih aman" terhadap ancaman kustodian pihak ketiga yang menghilang. Rute B lebih aman terhadap ancaman penutupan rekening bank oleh OJK/PPATK atau perusahaan analisis rantai yang mengelompokkan perilaku Anda dengan identitas asli Anda. Sebagian besar pengguna — setelah mereka memikirkan apa yang sebenarnya ingin mereka lindungi — memilih Rute B untuk leg BTC-ke-XMR dan menyimpan Bisq untuk masalah yang lebih sulit yaitu memasukkan atau mengeluarkan fiat tanpa KYC.

Bisq 2 dan Pertanyaan Reputasi

Bisq 2 memperkenalkan sesuatu yang tidak pernah dimiliki v1: lapisan reputasi yang eksplisit. Bisq Easy, protokol tingkat pemula, sama sekali tidak memiliki escrow. Sebaliknya, akun taker mengumpulkan "BSQ yang dibakar" (token tata kelola Bisq) atau kredensial akun yang ditandatangani, dan penawaran dari akun bereputasi rendah disembunyikan oleh filter default. Ini adalah trade-off yang disengaja — Bisq Easy diperuntukkan bagi perdagangan kecil di mana overhead operasional multisig tidak sebanding.

Sistem reputasi menarik dari sudut keamanan karena ia mengubah siapa yang menanggung risiko. Di v1, protokol menanggung risiko melalui agunan. Di Bisq Easy, taker menanggung risiko reputasi jika ia gagal bayar. Untuk perdagangan di bawah satu juta Rupiah ini berjalan baik. Untuk jumlah yang lebih besar, ia belum menjadi pengganti escrow MuSig, dan tim Bisq sudah eksplisit tentang hal itu.

Untuk Monero secara khusus, protokol MuSig Bisq 2 dengan XMR sebagai aset yang diperdagangkan masih dalam tahap matang. Atomic swap antara BTC dan XMR menggunakan adaptor signatures (desain COMIT / unstoppable.swap) mulai muncul di build eksperimental Bisq tetapi belum menjadi default. Perkirakan ini menjadi perubahan terbesar dalam cerita keamanan Bisq selama 18 bulan ke depan.

FAQ

Apakah Bisq pernah kehilangan dana pengguna?

Ya, sekali dalam skala besar. Eksploitasi protokol April 2022 menyebabkan pedagang aktif kehilangan sekitar 3 BTC dan 4.000 XMR. Bisq DAO memilih untuk mengganti rugi pengguna yang terdampak melalui pendapatan biaya perdagangan di masa depan, dan protokol ditambal dalam beberapa hari. Tidak ada insiden berikutnya yang menyebabkan kerugian sebanding, tetapi kasus ini patut diketahui sebelum melakukan perdagangan besar.

Apakah saya perlu KYC di Bisq?

Tidak. Bisq sendiri tidak pernah meminta identitas. Namun, rekan transaksi Anda akan melihat apa pun yang diekspos metode pembayaran yang Anda pilih — untuk transfer bank lokal itu adalah nama lengkap dan nomor rekening Anda, untuk uang tunai melalui kurir itu adalah alamat pos Anda. Bank Anda juga melihat sisi fiat dan dapat menerapkan pemicu AML-nya sendiri sesuai peraturan PPATK. "Tanpa KYC di Bisq" itu benar; "sepenuhnya anonim" tidak.

Apakah Bisq masih aktif di 2026?

Ya. Bisq v1 dalam mode pemeliharaan tetapi masih memproses perdagangan. Bisq 2 adalah cabang pengembangan aktif, dengan Bisq Easy sebagai titik masuk yang direkomendasikan dan MuSig sebagai protokol yang direkomendasikan untuk jumlah yang lebih besar. Volume perdagangan kecil dibandingkan dengan venue tersentralisasi tetapi konsisten, dan klien desktop menerima rilis berkala.

Apa metode pembayaran teraman di Bisq?

Uang tunai fisik secara tatap muka tidak memiliki risiko chargeback dan tidak ada pelaporan bank, tetapi memiliki risiko operasional yang jelas. Di antara opsi elektronik, BI-FAST di Indonesia (atau SEPA Instant di Eropa) secara luas dianggap teraman karena penyelesaian bersifat final dalam hitungan detik. Metode dengan jendela pembalikan panjang — PayPal, transfer peer Revolut dalam kondisi tertentu, dan beberapa e-wallet domestik dengan jendela sengketa — lebih berisiko, dan banyak penjual berpengalaman menolaknya secara langsung.

Bisq atau swap instan untuk membeli Monero?

Jika Anda sudah memegang BTC atau koin lain yang didukung dan tujuan Anda adalah Monero yang pribadi, swap instan biasanya lebih cepat, lebih murah untuk jumlah kecil, dan menghindari eksposur jalur fiat sepenuhnya. MoneroSwapper dan layanan serupa yang dapat diakses lewat Tor menyelesaikan konversi BTC-ke-XMR dalam kurang dari 30 menit tanpa pemeriksaan identitas dan tanpa keterlibatan bank. Cadangkan Bisq untuk kasus yang lebih sulit yaitu berpindah antara fiat dan kripto tanpa KYC, di mana perangkatnya tetap sulit digantikan.

Bisakah aparat penegak hukum memanggil Bisq?

Tidak ada entitas pusat yang dapat dipanggil dalam pengertian tradisional. Bisq DAO adalah federasi kontributor yang dibayar dalam BSQ. Namun, mediator dan arbitrator individu adalah manusia nyata di yurisdiksi yang diketahui, dan mereka menyimpan bukti perdagangan (dienkripsi) selama jendela sengketa standar. Mereka dapat dijangkau melalui proses hukum, tetapi mereka tidak memegang kustodi dana perdagangan, dan data yang mereka lihat terbatas pada apa yang dibagikan kedua rekan transaksi satu sama lain.

Kesimpulan

Bisq aman dalam arti yang paling penting: ia tidak memegang kustodi dana Anda, ia tidak tahu siapa Anda, dan kegagalan tingkat protokolnya jarang, terbuka, dan dapat dipulihkan. Ia tidak aman dalam arti santai bahwa "tidak ada yang bisa salah". Jalur perbankan di sisi fiat, penanganan rincian pembayaran oleh rekan transaksi, dan kehati-hatian operasional yang diperlukan untuk menjalankan klien — semuanya sepenuhnya berada di pundak pengguna. Untuk 2026, Bisq tetap menjadi alat yang tepat untuk perdagangan fiat-ke-kripto yang perlu menghindari KYC, dan alat yang kurang menarik untuk swap kripto-ke-kripto biasa di mana venue instan seperti MoneroSwapper sudah memberikan hasil pribadi yang sama dengan friksi lebih rendah dan tanpa eksposur bank. Pilih ancaman yang sebenarnya Anda bela, lalu pilih venue. Bagian tersulit dari privasi self-custody adalah kejujuran tentang risiko mana yang menjadi tanggung jawab Anda.