Kapan pertama kali lo tau tentang kejadian itu, lalu inisial reaction lo kayak gimana? Kalau kita tau kapannya, pasti begitu jam 4 itu terjadi, 4 jam 4 lebih jam 4 pagi. Mereka buat kita 24 jam pertama kritikan momen. Karena kita harus memastikan kita tau cara dia masuknya gimana.
Yang paling gawat itu kalau secara internet security ya, yang paling gawat pada saat server ke-hack dan kita nggak tau cara si hacker ngehack. Wah itu si Amsyong. Pilihasi itu dengan grup?
Lazarus atau North Korea gitu kan. Ini kan duitnya udah kesana gitu kan. Nggak mungkin dari kita bisa ngapa-ngapain.
Ini udah dianggap hilang atau kigil? Kalau dari perusahaan ini kita sudah dianggapnya hilang. Selama kita masih punya integritas, kita punya nama baik, kita mulai dari titik apapun, kita akan bisa naik ke atas.
Tapi kalau integritas dan nama baik kita sudah rusak, mau kayak apapun susah kita naik ke atas. Oke, Bro Oscar. Ini pertama-tama kongres dulu nih. Inodax sudah live kembali.
Thank you Leon. Jury bro, kemarin gue deg-degannya luar biasa. Bisa dipahami.
Bisa dipahami. Dan deg-degannya gue tadi udah bilang sama lu kan, yang pertama, my mom ada duit disitu gitu. Itu bikin lebih didekan lagi.
Bikin lagi tuh. Kalo duit sendiri masih kayak gitu. Iya. Duit my mom.
Aduh. Sama. Kalau misalnya sampe keluarga gue juga duitnya ada disitu bro.
Sama. Biar kita di perahu yang sama, cuman mungkin lu lebih gak tidur. Cuman gue ada.
Gue udah bilang sama istri gue, ini kalau misalnya sampai ada apa-apa, kita harus siap-siap gantiin sebagai permohonan minta maaf. Tapi satu lagi mungkin gue dedekannya juga lebih buat kripto industri di Indo kan. Soalnya kan Indodax ini kan salah satu, mungkin bukan salah satu, mungkin tertua kali ya secara exchange.
Dan ini kan juga salah satu yang terbesar gitu di Indonesia. Kalau kita bicara Indodax yang tertua, tertua sebenarnya nggak juga. Karena waktu Indodax berdiri tahun 2014, itu banyak kripto exchange lain yang berdiri sebelum Indodax.
Tapi... banyak dari mereka sudah tutup. Bahkan bisa dikatakan sekarang semua sudah tutuplah yang sebelum Indodax. Jadi memang Indodax yang paling tertua sekarang. Tertua yang masih exist gitu maksudnya?
Karena memang sebelum Indodax ada yang tutup karena mereka tidak dapat market, ada yang tertutup karena dihack, ada yang ditutup karena lain sebagainya, sistemnya error, lain sebagainya. Memang bisnis cryptocurrency ini bisnis yang beresiko. Dalam 10 tahun Indodax beroperasi itu, ada lepas. lebih dari 10 crypto exchange di Indonesia yang tutup. Jadi dalam bisnis crypto exchange itu bisnis yang bisa dikatakan memang sangat beresiko.
Kita lihat saja selama 2014 sampai sekarang, berapa banyak crypto exchange yang survive. Oke, gua belum pernah ngedata sih, Bro. Tapi dari 10 itu yang sudah tutup, apa yang terjadi dengan duit nasabah? Apakah balik atau... Banyak dari mereka hilang.
Memang nggak bisa dibantah. Kalau misalnya nasabah mempercaya crypto exchange, itu kan mereka mempercaya asetnya ditaruh ke crypto exchange. Nah, tergantung si crypto exchange-nya nih, bisa menjawab kepercayaan nasabah apa enggak. Makanya ini salah satu insiden kemarin membuktikan kalau indodax bisa dipercaya. Kita memastikan aset nasabah itu aman 100%.
Iya, salah satu hal juga yang gue appreciate sama lu sama Bu William. Waktu kejadian, jujur gue ada ini, gue ada kepengen WA. Eh bro, gimana nih? Cuma gue tahu, tahu diri lah ya. Gue tahu.
Lo sama William pasti lagi justru tersibuk-sibuknya pasti gak usah gue yang WA tapi ada seribu orang lain yang lebih penting daripada gue yang WA juga gak pasti gitu. Kalau boleh saya jujur waktu kemarin sibuk-sibuknya itu itu sibuknya kita itu bukan setih mikirin crypto asset yang ke-hack. Sibuknya itu mikirin pemetaan bagaimana si attacker bisa gaining access dan melakukan unauthorized wallet transfer.
Oke bener. Sibuknya malah itu karena. Bener oke gue bakal kesana. Cuman itu ya itu yang gue appreciate. Walaupun gue.
Awalnya itu ada sedikit skeptisisme soalnya kan dulu si SBF sebelum dia itu akhirnya collapse Dia ngomong hal yang sama juga, dia ngomong hal yang sama maksudnya tuh tenang duit nasabah itu aman Habis itu ternyata nggak kan, awalnya dijanggut cuman untungnya nggak lah untungnya Irodax udah Makanya kita langsung lakukan proof of research kan, kalau SBF kan cuma ngomong doang dan sebagainya Kalau proof of research udah sangat solid gitu, udah nggak bisa dibantah lagi Bener-bener, nah boleh share nggak sih bro, gua kemarin juga ini ya nanya publik gitu, ada pertanyaan gak yang mau disampaikan ke Bro Skarni yang mau datang gitu kan, salah satu yang ramai ditanya itu adalah, boleh cerita gak sih apa yang terjadi gitu? Boleh dong, boleh banget karena kita memang spiriti Indonesia adalah transparansi, ya karena dari situlah kita menjaga integritas kita kan jadi kalau boleh dikatakan yang terjadi itu pada September tanggal 11 jam 4, ya itu ada serangan yang akhirnya berhasil melakukan unauthorized wallet transfer kan, awalnya serangan itu dari salah satu... staff kita kena hijack laptopnya. Padahal kalau kita lihat introduction-nya, kita kan punya tim 400 orang lebih, hampir 500 orang, semua member kita, semua staff kita itu pakai MacOS.
Jadi laptop seluruh komputer di kantor kita itu nggak pakai Windows. kayak macOS untuk mencegah malware. Si hacker itu waktu dia menghajek laptop si salah satu staf developer kita, dia membuat malware khusus.
Malware yang bisa menyerang macOS dan kemudian melakukan eksploit ke server yang ada aksesnya itu. Phishing berarti? Bukan phishing.
Ini membuat malware. Membuat malware kemudian mengeksploitasi servernya. Tapi gimana cara malware itu bisa terdownload di...
Yang terjadi adalah Si staff ini ditawari kerjaan freelance dari internet di gaji mahal. Jadi sudah ditarget. Memang sudah ditarget dan staff ini melakukan kesalahan karena dia pakai laptop kantornya untuk mengerjakan kerjaan freelance itu. Kan WITIS nggak boleh kan harusnya. Nah karena dia waktu kerjaan freelance dikasih file, dia download.
Kemudian ternyata di dalam itu ada skrip marwernya. Nah, script malware-nya inilah yang kemudian masuk ke dalam server yang sebenarnya nggak terlalu penting di Indodax. Tapi karena malware itu kan sifatnya pasif ya.
Dia menunggu momen untuk kemudian bisa melompat ke server yang lain. Pada akhirnya dia bisa menembus salah satu wallet yang transfer keluar itu. Dari IT developer ini berarti.
Betul. Jadi makanya kalau dikatakan apakah sistem trading kita jebol, nggak juga. Sistem data member kita nggak jebol.
Makanya kita bisa lihat. Wallet kita kan tetap aman semua. Setelah kita tutup semua akses, unauthorized transfernya itu berhenti.
Kalau kita jebolnya lebih parah, sistem tradingnya jebol, atau walletnya itu jebol, itu bakalan nggak bisa recover dalam 30 jam. Nggak mungkin. Nggak mungkin bisa recover dalam 80 jam.
Nggak mungkin. Karena recover dalam 80 jam, itu harus sistemnya tetap intact. Kalau sistemnya yang kekompromis, itu menurutnya bisa mingguan, bro.
Bisa bulanan. makanya kita bisa melihat berapa crypto exchange itu kan ada yang sampai dalamnya waktu kena hack bisa sampai beberapa bulan itu karena mereka yang kompromis sistem tradingnya berarti melalui malware ini hacker tersebut jadi dapat akses gitu jadinya ke apanya? apakah ke passwordnya?
ke server, jadi kita ada satu server yang bisa dikatakan dia ada akses kan si developernya ini ya makanya yang kita lakukan sekarang begitu kita tahu pola serangannya, kita langsung lakukan pemetaan terus kemudian kita tahu exploitnya kita langsung atasin itu, kita atasin terus kita hardening sistemnya terus semua servernya kita keriring kita keriring semuanya untuk memastikan bahwa jangan sampai itu bisa berulang lagi nah dari lu itu kapan sih pertama kali lu tahu tentang kejadian itu, lalu initial reaction lu kayak gimana? kalau kita tahu kapannya ya pasti begitu jam 4 itu terjadi... jam 4 pagi.
Jadi serangan itu terjadi jam 2-4. Kalau kita lihat dari logline sebagainya, jam 4 pagi. Karena mereka memang menyerang kira-kira titik lemah perusahaan itu jam berapa.
Ini benar-benar direncanakan banget berarti ya? Menyerang ini kan terafiliasi sama Korea Utara. Iya.
Lazarus. Afiliasi sama Lazarus. Saya nggak bisa bilang itu Lazarus apa bukan, tapi ini terafiliasi. Belum terkonformasi Lazarus, tapi terafiliasi. Karena kalau kita lihat, dari indikasi cara nyerangnya, indikasi cara IP yang dipakai, lain sebagainya, ada kemiripan.
Kalau IP-nya sih ada kemiripan, ya kemungkinan besar. Terus initial reaction-nya kayak gimana tuh? Jam 4 pagi langsung dibangunin di telepon kali? Kalau kita kan sudah jalan bisnis 10 tahun ya, 10 tahun di Indodex, itu memang kadang-kadang kita direksi bisa dibangunin sewaktu-waktu.
Jadi memang kita punya mitigasi plan. Kalau memang terjadi apa, direksinya harus dibangunkan. Apalagi kalau kita bicara 2 tahun pertama jalanin Indodax, itu apalagi kayak William Patan saya itu bisa 24 jam. Karena waktu itu tim kita belum sebanyak sekarang.
Kalau sekarang mungkin cuma pada saat incident, atau pada saat ada suatu withdrawal yang besar, atau ada suatu yang tidak wajar, kita kemudian dibangunkan untuk melawan pemeriksaan dan sebagainya. Cuma kalau kita bicara 2 tahun pertama Indodax, itu kerjanya lebih berat. Kalau 2 tahun pertama ketemu saya sama William, selalu kita nggak lepop.
Anytime gitu jadinya. Terus apa ya, kayak kekhawatiran pertamanya itu apa? Waktu lu denger kayak jam 4 pagi dibangunin mengenai kayak gini.
Initial reaction-nya apa? Yang pasti yang pertama kaget ya, kaget. Sedikit stres. Tapi kan kita nggak boleh berani cuma kaget dan stres. Kita harus langsung tahu mitigasinya gimana nih.
Langkah apa yang harus kita lakukan kan. Nah kemudian dari... Dari situ kemudian mapping kita melakukan ini, itu, lain sebagainya. Makanya kemudian kita respon ke marketing cukup cepat. Benarnya, lu langsung bikin video live jam berapa tuh?
11 kalau nggak salah, pagi atau 12? Jam 10. Jam 10. Jam 10 sebelum itu jam setengah 8 kita sudah beres meeting internal. Kita setengah 8 sudah memastikan sistem harus ditutup untuk pengecekan semuanya.
Kita langsung bikin PR, scripting, lain sebagainya. Semua langsung up jam 10. Itu cepet sih. Maksudnya buat orang yang mungkin kebanyakan audiens kan gak tau juga dari segi dari segi apa yang dia ambil untuk kita tuh ngebikin real gitu kan.
Ini live jam 10 sih cepet banget ya. Jadi karena kita dari yang banyak diketahui publik kan ke JDN jam 8 loh. Karena jam 8 kita baru nutup sistemnya kan. Karena kita setelah kita memetakan, kita kemudian harus memastikan seluruh sistem aman.
Baru kita tutup kan. Waktu kita tutup itu kita tahu bahwa kita harus memberikan pengumuman ke publik sebelum 3 jam. Karena kalau publik tahunya setelah 3 jam, kelamaan buat publik.
Jadi kita memastikan semuanya harus terkendali. Ada kekhawatiran nggak sih di awal-awal waktu lo mengetahui tentang serangan ini ya? Waduh ini duit nasabah ada potensi bagian dari mereka yang nggak bisa withdraw nggak ya?
Nggak. Jadi kita nggak ada. Karena kita tahu reserve Indodax itu cukup besar. Jadi pertama kali yang saya tanya ke partner saya, yang kan pertama kali pasti CTO saya kan saya tanya CTO saya, damage-nya berapa?
itu pertanyaan yang paling penting yang menentukan apakah serangannya sebesar apa gitu begitu dia mengatakan damage-nya di bawah 30, di bawah 30 juta dolar saya langsung tahu bahwa oh Indodax akan fine setelah Indodax akan fine yang harus dilakukan berikutnya adalah serangannya gimana? sudah teridentifikasi belum? Karena kalau belum teridentifikasi, itu yang paling gawat.
Mereka buat kita 12 jam pertama itu critical moment. 24 jam pertama critical moment. Karena kita harus memastikan kita tahu cara dia masuknya gimana.
Yang paling gawat itu kalau secara internet security ya, yang paling gawat pada saat server ke-hack dan kita nggak tahu cara si hacker ngehack. Wah itu sudah amsyong. Solusinya nebak-nebak berarti jadinya. Karena kalau sudah nebak-nebak, itu cuma masalah waktu kejadian lagi.
Tapi kalau kita tahu cara masuknya gimana, kita tahu cara nyerangnya, kita tahu cara ngeprotect ya. Sama lah bro, sama kayak orang kalau pacaran kan. Kalau kita sudah tahu cara nembak cewek, pacaran kedua kita sudah tahu cara nembak cewek berikutnya. Bener ya? Kan sama itu bro.
Temanya kayak temanya ini nih, lu punya IG nih. Yang lebih lifestyle gitu-gitu. Kalau bisa tau belum follow, follow deh.
Udah 500 ribu tapi followernya. Kalau bisa follownya jangan dia gue aja. Kalah gue. kasih gue kesempatan, saya bisa catch up itu menarik ya bro, soalnya kan lu kan langsung kasih proof of reserve kalau gak salah 11,5T ya tentu kalau misalnya orang langsung bisa ngitung gitu kan gue langsung bisa ngitung lah saat itu, oke berarti optimis case nya, bro Oscar bilang duitnya aman worst case nya, kita kehilangan 3%, jadi 97% ya jadi itu sedikit lumayan memberikan ketenangan di hati lah gitu my worst case scenario is not too bad after all setara logika ya, negara kayak gitu ya.
Nah, tetap aja, tapi ini kan 309 ini kan dananya masih lumayan gitu kan. Ujung-ujungnya siapa yang memikul uang itu? Sebenarnya kalau kita bicara Indodax sendiri ya, Indodax itu perusahaan yang didirikan dengan modal yang cukup besar. Kita bicara Indodax itu didirikan dengan modal tarotan di banyak yang bisa buka lah. Di sini banyak orang yang bisa buka data data PT kita, modal kita cukup besar.
Kita ratusan miliar. Satu rupiah. Belum kalau kita bicara secara kripto, kita kan sudah berdiri 10 tahunnya. Waktu kita berdiri tahun 2014 harga Bitcoin baru berapa.
Jadi kalau kita bicara aset treasury daripada Indodax, reserve 11,5 itu bukan 1 member saja, tapi juga termasuk reserve daripada perusahaan. 1 member jauh di bawah itu. Oh, saldo member jauh di bawah itu. Itu ada saldo perusahaan juga di situ. Itu tapi nggak open ke publik kan split-nya berapa gitu.
Jadi kalau kita, makanya pertanyaan saya pertama kali ke partner saya adalah, Demisnya berapa? Karena demis itu yang menentukan reaksi kita ke pasar bagaimana. Benar. Tapi setelah investigasi beberapa hari itu, apa yang bisa dilakukan?
Misalnya tadi kan kejadian itu dari seorang engineer yang melakukan pekerjaan freelance itu kena hang. Kan nggak mungkin bisa dihimbau semua orang nggak boleh freelance pakai laptop. Bukan. Bukan. Jadi yang terjadi adalah Engineer full-time, karena kita tidak hire.
Oh, benar. Maksudnya engineer full-time, dia mengambil pekerjaan freelance. Tapi kalau kita himbau seperti itu, itu tidak menolong masalahnya.
Pasti mereka bilang tidak, tapi mereka pasti pakai komputer. Namanya perusahaan, kadang-kadang orang suka kerja di double job. Makanya sekarang kita ada kebijakan di mana melimit seluruh akses ke server. Jadi untuk akses ke server itu harus diawasi oleh pihak yang lain.
Jadi tidak ada lagi akses yang lebih rileks. Karena tujuannya untuk mengatasi, mungkin si developernya tidak ada maksud untuk Melakukan hal itu kan. Tapi kita kata-kata nggak tahu nama malware, kita nggak tahu nama virus, dsb.
Maka kita membuat SOP-nya kita perketat sekarang. Soalnya secara intent, pasti kan orang itu nggak punya intention supaya kita hack. Mungkin dia justru orang kayak gitu juga nggak aware ya, dia cuma just...
Kalau kita bicara bahasanya API, ini salah satunya disebutnya dengan serangan dream job. Serangan dream job? Dream job.
Jadi orangnya ditawari pekerjaan yang bergaji tinggi. Boleh sebut nggak sih kayak... berapa yang ditawarin?
Biasanya kalau kecean seperti ini bisa sejam ditawari berapa ribu dolar. Jadi kadang-kadang ada orang yang tergoda, cuma untuk konfigurasi server dibayar berapa ribu dolar jadi dia kemudian ngambil kecean itu. Iya, benar-benar.
Bisa dipahami lah. Sebagai orang itu kan, dia bisa ngambil, dia kan nggak kepikiran sampai bisa attack segala macam. Tapi ternyata itu ya, ternyata Mac itu maksudnya bukan itu tuh safe ya, berarti.
Maksudnya bukan 100% safe berarti. Yang menarik dari laporan security auditory yang kita pakai, kita pakai yang world class, dia melihat bahwa malware yang dipakai menyerang Indodax ini, itu malware baru. Ini malware jenis baru.
Dibikin khusus. Dibikin khusus untuk menyerang jaringan OS seperti yang dipakai oleh Indodax. Dan mungkin sudah spesifik targetnya khusus buat yang Indodax. Jadi ini sepertinya hacker juga melakukan naik kelas sekarang.
Makanya kalau kita lihat di semua scan virus, Marvel ini tidak terdeteksi. Kita coba Marvel ini tidak terdeteksi, karena ini ada tipe baru. Dan sebenarnya banyak orang itu juga tidak tahu bahwa kes-kes seperti ini itu sering kejadian juga di tradisi.
Di banking tradisional, dan bank-bank yang terkenal-terkenal yang teman-teman sering dengar. Mau di Indonesia atau mau di luar negeri Itu sebenarnya banyak yang kena serang juga Tapi benefitnya mereka Nggak di expose Karena bedanya perbankan dengan crypto exchange Kalau crypto exchange kan semua blockchainnya kelihatan Kelihatan, benar, publik Kelihatan, tapi kalau kita bicara bank Kalau bank kena kasus kayak gini, mereka asal nggak dikerah Orang nggak tahu Di Indonesia kan cukup banyak yang kena juga Benar, dan itu banyak orang yang nggak tahu Bahwa banyak yang kena serang Mau di Indonesia atau di luar negeri Tapi ya Ya, kebetulan gara-gara crypto itu adalah transparan. Kita bicara crypto-exchange kan hampir sebagian besar lah.
Crypto-exchange yang besar, yang benar-benar global, itu biasanya banyak yang kena sih. Itu nggak bisa dibantah karena memang crypto-exchange itu target yang menarik. Kita nggak bicara jauh-jauh lah. Crypto-exchange yang paling banyak dipakai Indonesia, yang depannya B atau depannya K, itu kan semua pernah kena hack. Kenapa?
Karena memang kita bicara internet security itu terus-terusan internet security ditantangkan sama si hacker. Depan yang B sama depan yang apa satu lagi? Oh depan yang B, depan yang K. Kan semua pernah kena hack gitu. K apa ya?
Nah saya nyebut dimana. Menjebak atau pura-pura gak tau. Jadi kalau kita bicara mengenai crypto exchange, makanya kita harus lakukan adalah kita harus memastikan hot wallet itu kita ada reserve yang bisa menjaminnya.
Karena hot wallet itu sesuatu yang berbahaya sih sebenarnya. Tapi di semua crypto exchange, pasti ada hot wallet. Nggak mungkin crypto exchange nggak pakai hot wallet. Nanti sistemnya nggak bisa withdraw. Withdrawnya nggak bisa langsung kan?
Oke. Nah kalau kita bicara sistemnya bisa withdraw langsung, kalau misalnya Anda request withdraw, Anda klik email otomatis ke withdraw, itu pasti pakai hot wallet. Semua crypto exchange di dunia pakai.
Nah itulah kemudian makanya harus memastikan bahwa reserve perusahaan cukup untuk menalani hot wallet-nya itu. Nah terus kan gue juga sempat baca di berita lah ya lu juga berkoordinasi sama Saber Mabes dari Baris Cream Poly. Tapi kalau misalnya gua ngebaca itu, maksudnya ekspektasinya apa? Soalnya ini kan orang, apalagi kalau misalnya afiliasinya itu dengan grup Lazarus atau North Korea, itu kan duitnya sudah ke sana, nggak mungkin dari kita bisa ngapa-ngapain. Ini sudah dianggap hilang atau kigil?
Kalau dari perusahaan ini kita sudah menganggapnya hilang. Tapi satu hal yang pasti, kalau kita bicara mengenai blockchain, setelah orang menyerang dan mendapatkan kriptonya, orang ngapain? Orang-orang berusaha menukarkan kriptonya dalam bentuk kripto yang lain.
Setuju. Jadi untuk menukarkan kriptonya ke kripto lain, itu mereka akan melalui exchange yang lain. Betul. Pada saat mereka misalnya kriptonya lari ke exchange yang lain, itu kan bisa kelihatan.
Pada suatu titik kan dia akan berhenti di suatu exchange. Nah disitulah peran daripada kepolisian. Karena yang bisa berhubungan dengan pihak internasional, dengan Interpol, dan lain sebagainya, ya kepolisian kita.
Tapi tujuannya apa? Tujuan kan sudah pasti bukan untuk mengembalikan uang, kan? Apakah tujuannya untuk tracing, untuk pelajaran?
Bisa tracing dan bisa mengembalikan uang. Karena kalau kita bicara mengenai misalnya dana yang lari ke exchange yang teregulasi di Inggris misalnya, nanti exchange Inggris itu memang frozen dana. Jadi lain sebagainya, itu salah satunya.
Dan penelusuran pihak-pihak yang terlibat itu bisa kelihatan. Tapi probabilitasnya menurut lo rendah atau tinggi bisa? Kalau menurut saya tetap akan ada dana yang bisa ter-recover, tapi mungkin nggak akan terlalu besar. Cuma kita lebih berharap pada akhirnya pelakunya bisa ketangkap.
Karena kalau kita lihat kasus Lazarus sebelumnya, beberapa tahun lalu yang pernah terjadi di dunia, itu kan pelakunya ketangkap bro, diadili di Amerika. Biaya pun asetnya banyak nggak ke-recover. Yang di Crypto Asia yang saya sebutin itu, itu kan ketangkep pelakunya. Pelakunya ini tapi basisnya dia udah di Amerika atau dia lagi di North Korea sekarang? Karena basisnya mereka di berbagai negara.
Ini kan kelompok yang terafiliasi Korea Utara. Tapi bukan berarti mereka semua duduk di Korea Utara. Jadi kalau sudah operasi internasional, nanti biasa FBI yang gerak.
Udah mainnya sampai ke arah sana. Mata dari film berikutnya. Mata dari film berikutnya. Mata dari film berikutnya.
Jadi kalau dulu ada 13 bro, nanti ada kejadian yang ini. Iya, iya. Nah, terus salah satu ini bro yang tentu menjadi skrutini itu juga dari segi perizinan kan.
Itu kan reaksi pertama gua lah. Itu untuk ngecek kan emang dari segi regulasi, irodaksi kayak gimana sih. Dan gua kan udah baca kan, irodaksi itu udah diawasi oleh Mbak Pepty gitu kan. Nah, Tapi kan abis itu ada sebuah statement juga dari CFX yang lumayan heboh juga tuh waktu momen-momennya itulah bahwa Indodax itu belum terdaftar menjadi CFX gitu kan Nah lalu juga ada sebuah perizinan yang mungkin bisa dibilang baru lah ya, PFAK gitu kan Dan dulu kan ada 30-an exchange itu dilihat sebagai CPFAK, calon gitu masih ada C nya gitu kan Nah dari lu sendiri kayak gimana? Apakah sekarang ini Indodax itu lagi on progress towards PFAK atau kayak gimana?
Satu hal yang pasti, regulasi kripto apapun di Indonesia itu ada setelah Indodax ada. Itu poin yang paling penting. Jadi Indodax itu ada hampir 11 tahun. Regulasi kripto itu baru mulai ada tahun 2017. CFX sendiri baru ada setahun terakhir.
Bapak Fetih baru ngawasin itu mulai tahun 2018. OJK mulai ngawasin kripto tahun depan. Jadi kita Indonesia banyak dilibatkan dengan pembuatan aturan-aturan. Nah alasan kenapa kita belum mendaftar CFX, ya salah satunya karena memang CFX kan baru berdiri bro.
Baru berdiri, administrasinya baru berjalan, dan untuk meresin administrasi sebuah perusahaan yang berdiri 11 tahun dengan perusahaan yang baru berdiri 1 tahun, ya betul dong bro. Akta totalisnya kita aja banyak banget, berdiri 1-1, ya tentunya perlu waktu, perlu proses. Ini yang pertama. Yang kedua... CFX ini juga punya persyaratan dan sebagainya.
Kita juga harus lagi penuhi. Yang ketiga, kita ingin melihat member Indonesia siap nggak. Karena begitu kita mendaftar ke CFX, itu ada biaya tambahannya. Biaya tambahannya akan dikenakan 0,04 persen.
Karena itu yang diminta oleh pemerintah. Nanti saya percaya di ekosistem kripto di Indonesia semua akan ditambahin 0,04. Bukan cuma di kita.
Pasti itu regulasi. Iya, itu istilahnya. Kita diawasi, kemudian dikenakan biaya 0,04%. Tapi apakah berarti dari, soalnya kan kalau misalnya untuk PFAK kan ada 3 kan, ada KKI, ada ICC, sama CFX gitu kan. Lalu, dan juga di audit lah segala macet gitu kan.
Nah apakah indodax itu, tujuannya itu akan menjadi PFAK juga? Kita lagi proses, karena pemerintah sudah meminta kita gitu ya, kita ikuti lah. Indodax salah satu yang paling taat ya. Kita lihat. Kita dari pertama bisnis nggak diatur siapa-siapa, kita diminta diatur BAPETI, kita ke BAPETI.
Setelah itu kita diminta daftar CFX, kita daftar CFX. Kemudian nanti kalau misalnya sudah tahun depan pindah ke OJK, ya kita diatur OJK. Jadi kita sesuai, seperti air aja ya, air masuk ke vas jadi vas, air jadi ember jadi ember.
Yang penting pemerintah menyadari resikonya pengaturan bisnis ini, dan yang menarik di aturan CFX itu kan... transaksi kita akan diawasi oleh CRX, kemudian nanti uang rupiahnya akan dijamin oleh KKI, ke Riring, kemudian kripto kita nanti secara hukum akan dijamin oleh ICC. Saya harapkan setelah nanti diatur semuanya itu, nanti tanggung jawabnya sama-sama, jangan cuma Indodax saja. Kalau misalnya lo lihat, apakah regulasi itu akan menangani masalah yang lo kemarin, yang Indodax kemarin hadapi? Misalnya, contohnya.
Casenya adalah, Sekarang Indodax kita asumsi aja, kita ngomongin beberapa bulan ke depan, udah jadi PFAK gitu lah. Apakah dengan Indodax sudah menjadi PFAK? Case kemarin, ini kita ngomongin misalnya belum terjadi gitu ya, belum terjadi. Apakah kayak semaren masih bisa terjadi gitu?
Bisa dong, nggak ada bedanya. Bedanya apa? Beda satu.
Beda satu. Beda satu. Beda nya kalau misal, kalau case kayak Indodax ke JD ya, tetap akan sama karena yang tetap kena kan hot wallet-nya bro. Hot wallet-nya, satu hot wallet-nya. Terus yang kedua, yang kena itu kan di-exploit server-nya.
Karena sistemnya tetap di masing-masing perdagangan crypto-async, nggak ada bedanya. Beda nya adalah, pada saat ada JD incident, mungkin yang akan dipertanyakan adalah siapa yang tanggung jawab nih? apakah yang tanggung jawab ini CFX?
apakah yang tanggung jawab cuma perdagang? atau yang tanggung jawab ECC? berarti bukan ini ya, soalnya yang gue ngerti ya ini, ini, gue ngomong sebagai orang awam yang berusaha untuk belajar gitu apalagi mengenai regulasi gitu ya gue yakin banyak dari temen-temen juga tiba-tiba tertarik untuk belajar regulasi ya, iya nah, kan R3 kan tadi kan, CFX sebagai bursa ICC itu sebagai kastodiannya lah ya buat crypto kita yang ketiga itu adalah KKI untuk dana IDR kita, rupiah kita gitu kan Nah kalau misalnya ICC sepengetahuan mengenai kastodian adalah otomatis kan mereka kan harus meng-approve untuk pengeluaran crypto juga gitu yang mau in out gitu Untuk cold wallet dan warm wallet kali ya, kalau untuk hot wallet kan otomatis bro Biasanya ya Exchange itu, berapa persen sih yang cold wallet, warm wallet, versus hot wallet? Tergantung crypto exchange-nya.
Kalau yang kayak Indodax yang sudah cukup besar, kita sangat liquid, hot wallet kita di bawah 5 persen. Jauh di bawah 5 persen. Tapi kalau kita bicara crypto exchange yang baru-baru, mungkin hot wallet-nya bisa 30 persen.
Bahkan beberapa bisa 50 persen. Ketentuan dari ICC kayak gitu harus minimal berapa persen di cold wallet-nya? Kalau ketentuannya ICC 70. 70% ini relatif safe gara-gara udah ada kastodiannya ICC.
Tapi yang 30%... Selama bukan kastodiannya ke-hack ya? Selama bukan kastodiannya ke-hack. Karena yang menarik kalau misalnya kastodiannya itu semua pindah ke ICC, begitu ICC ke-hack, satu ekosistem Indonesia ke-hack.
Apakah itu berarti yang mengamankan harus dua pihak? Maksudnya kalau misalnya sebagai kastodian itu yang mau ngerilis, berarti misalnya ICC-nya approve? Tapi dari exchange juga approve, jadi ada double confirmation gitu?
Seharusnya gitu. Apakah sekarang udah seperti itu atau belum? Seharusnya gitu. Cuma saya pertanyaannya apabila ICC yang gehack, yang tanggung jawab siapa? Tergantung bagian siapa nggak sih?
Kan tadi kan konsul approve-nya dua. Kalau secara hukumnya, tanggung jawabnya di ICC belum. Nah, ICC itu ada asuransi nggak sih?
Seharusnya ada. Kalau secara aturan seharusnya ada. Oke. Berarti kan, berarti danan asambah kalau misalnya udah PFAK, Apakah kita bisa melihat itu sebagai level terakhir dan tertinggi dari peraturan? Seharusnya.
Harapannya. Harapannya kalau ada, apalagi sekarang KKI kan bakal megang uang rupiah nih, bakal uang megang rupiahnya member. Uang rupiah member kan jumlahnya triliunan ya.
Kalau memang uang rupiah sudah dipegang KKI, interest-nya kan juga seharusnya bunganya dinikmati oleh kelilingnya. Jadi kan ada pendapatan di situ. ICC megang kriptonya.
Ada di sana dia melalui kriptonya. Dan CFX sendiri sebagai pencataran dia mendapatkan pendapatan 0,04 dari volume trading. Kan ada pendapatan semua itu. Seharusnya memang tanggung jawabnya ada di masing-masing SRO. Kalau kita berangkat spiritnya SRO memang untuk mengatur seperti itu sih.
Kita lihat sih gimana lah. Karena SRO ini kan lembaga independen ya. Dalam hukuman lembaga independen yang bertugas untuk mengawasi transaksi.
Harapan saya kalau memang nanti ekosistemnya ini jalan ya. Tanggung jawabnya jelas, kalau bersama kita dengan uang rupiah, dana member ke-HEC, dan lain sebagainya untuk rupiahnya, tanggung jawabnya di KKI. Kalau crypto, ada papa, tanggung jawabnya di ICC.
Apalagi meresmikan nanti BAPET, nanti nggak lama resmikan OJK. Jadi kan lembaga-lembaga kuat di Indonesia. Jadi kalau ada papa, seharusnya pemerintah ikut serta. Tapi kita lihat gimana.
Kan ini ekosistem yang masih baru. Kalau yang pasti, Indodax sudah membuktikan selama Indodax berdiri dan selama semua dipegang Indodax, ada papa Indodax tanggung jawab. Apakah ini case pertama?
Case pertama apa? Case pertama yang apa namanya? Pertasan seperti yang kemarin Lazarus.
Kalau kita bicara nama crypto exchange, crypto exchange itu banyak banget mengalami pertasan. Maksudnya dari sisi Indodax? Dari sisi Indodax, kita pernah mengalami kecil-kecil. Dalam arti usernya kena hack dan sebagainya.
Namanya bisnis crypto exchange itu bisnis yang nggak bisa dihindari dari namanya peretasan. Cuma, semakin ada orang, salah satu pakar blockchain, ada pakar orang yang punya crypto exchange juga cukup besar, saya nggak nyebut namanya, daripada saya salah, dia kan bilang sebuah kalimat, crypto exchange itu, kalau crypto exchange mengenai masalah hack, cuma ada dua kemungkinan. Kalau ada crypto exchange yang mengaku nggak pernah dihack ya, cuma ada dua kemungkinan.
Yang pertama crypto exchange dia nggak ngaku, yang kedua dia berbohong. Atau ketiga mungkin belum cukup besar. Atau mungkin juga nggak cukup besar, atau nggak dikenal lah. Jadi kalau karena business crypto exchange ini business yang bisa dikatakan sangat bersentuhan dengan semua di internet security. Jadi apakah KGRI tuh udah disiapkan dana?
cadangan, jadi kayak bisnis as usual di Crypto Essings, bisnisnya seperti itu jadi kita selalu menyiapkan dana reserve yang digunakan untuk memastikan operasional lancar nah kalau misalnya dari segi ini ya, impact-nya terhadap bisnisnya InnoDux gitu ya, kan proof of reserve kan sesuatu yang dari Browsker juga secara transparan publikasi gitu kan kelihatan gak sih impact-nya dari segi orang-orang yang withdraw dan juga orang-orang yang masih stay gitu. Kira-kira berapa persennya gitu? Kalau dari kita, kita bisa melihat setelah sistem kita up, semua jalan, itu kita nggak melihat terjadinya akses withdraw besar-besaran.
Jadi semua jalan normal, bahkan dalam 2 hari kita sekarang ini, transaksi Indodax sudah mencapai 500 miliar. Jadi memang nggak terjadi seperti isu ras gitu, nggak terjadi orang semua withdraw, itu nggak sih. Kita malam begitu buka, orang cenderung deposit. Karena kita tutupnya 2 hari, dan waktu itu harga kripto turun. Jadi banyak orang yang tiba-tiba kaya berapa persen.
Jadi mereka buru-buru deposit, beli kripto, mereka profit. Jadi ini satu hal yang menarik. Iya, menarik. Dan kalau mereka beli saat itu, sekarang sudah naik ke Rp62.000.
Sekarang sudah profit lebih banyak lagi. Rp950.000 kali ya. Oke.
Ini ada satu pertanyaan nih. Sebenernya ini salah satu yang lumayan banyak pertanyaannya Ada satu pencinta Indodax sejati nih Ini kebetulan gue kenal orangnya Gue kenal orangnya Dan gue udah dari sekitar beberapa Dari tahun lalu lah Waktu gue pertama kali masukin Bitcoin Dia kasih tunjuk bahwa dia tuh masukin sejak 2014 2014 dia pake Indodax Maksudnya bilang kayak gini Sebagai user dari tahun 2014 Setelah kejadian kemarin, apa alasan gue harus tetap pakai Inodax? Karena alasan gue sebelumnya adalah Inodax paling aman. Sekarang saya tanya sama user itu, apakah sekarang akun dia masih aman? Ya, pasti masih aman.
Lalu alasannya, apakah hilang? Masih aman. Sekarang saya tanya di balik, kalau user itu pakai akun exchange yang lain dan terkena hack, apakah masih aman?
Belum tentu. Ya, kan kita bicara faktanya aja. Kita nggak usah bicara berandai-andai.
Dan setiap orang yang dibebaskan, dia mau pakai crypto exchange apapun, silahkan. Dan buat kita, kita nampung crypto orang itu, kita nggak ada benefit. Sampai hari ini Indonesia belum mengenakan biaya penyimpanan. Biaya pun kita menjamin 100%. Dan kita sudah membuktikan kita menjamin 100%.
Sebutin satu deh crypto exchange di Indonesia yang sudah terbukti menjamin 100%. Ada nggak? Nggak ada. Iya benar. Terus ini, kalau misalnya dari lu ya, lu punya saran gak sih gimana caranya supaya dari user itu juga mengambil peran untuk mengamankan aset mereka?
Apakah, kan di Indodax ada 2FA segala macam lah ya, tapi apakah nasabah itu lu rekomendasi untuk nyimpen di cold wallet atau? Kalau dari saya, dari setiap Indodax betul ini saya selalu menyarankan user itu setelah transaksi di-extinct, dia withdraw. Idealnya gitu. Harusnya, saya salah satu pelaku crypto exchange yang nyarankan orang withdraw.
Karena saya memandang memang idealnya kalau Anda sudah transaksi jual-beli di crypto exchange, Anda withdraw di port wallet Anda. Idealnya. Tapi kalau memang Anda nggak mau withdraw ya nggak apa-apa. Disimpanin di crypto exchange.
Cuma itu jadi tanggung jawabnya crypto exchange. Nah yang kedua kalau misalnya kita tanya secara user, ya yang pasti... Usahakan passwordnya aman lah, jangan sampai passwordnya yang pake yang sederhana passwordnya sama kayak password email itu paling fatal kan karena kalo emailnya ke hack, akunnya juga ke hack Itu pertanyaan deh, soalnya kan gue yakin banyak user yang seperti itu kan kayak password yang di-introduce sama dengan password yang mereka pake untuk sehari-hari mereka lah gitu kan Nah tapi mungkin mereka nih ngerasa aman soalnya kan masih ada yang lain masih ada PIN, masih ada OTP jadi kenapa itu mistik?
Karena satu hal, kita memang tahu ada 2FE, ada lain sebagainya. Tapi ini kan kita bicara layar kan, kayak sebuah benteng lah. Benteng ada 3 benteng. Tapi apakah dengan kita mengorbankan satu benteng karena ada 2 benteng yang kita merasa aman?
Kan idealnya kita tetap menjaga tiga-tiganya dong. Kalau Anda ingin merasa bahwa benar-benar aman, ya Anda jaga tiga-tiganya. Kalau satu ketembus, masih ada dua yang lain. Kita nggak usah suka rela membuat yang pertama tidak dijaga. Oke, Bro.
Yang bagian tentang introduks sudah selesai. Ini ada beberapa random Q&A nih. Boleh, apa nih? Pak Oscar, tinju antara Raymond sama Timothy, siapa yang akan menang?
Siapa yang menang ya? Aduh, yang satu sahabat saya, yang satu orang yang cukup saya kagumi sih, karena cukup berani ya. Berakangan ini, pos-posnya lumayan berani. Politiknya abis-abisan, luar biasa.
Cuma kalau saya disuruh milih, saya milih Bulu Leon aja deh. Curang dia. Terus ada pertanyaan, oh ini tapi udah dijawab tadi sih. dana cadangan 11,5 triliun itu punya sendiri atau apa tadi?
Tadi sudah dibilang. Ya, saya jawab. Jadi memang itu ada dana reserve yang dari perusahaan dan ada yang satu member kan. Jadi kalau bersatu member sendiri, satu mereka aman 100%.
Iya, iya. Oke. Terus selanjutnya nih. Outlook for crypto post the 0.5 BPS rate cut.
Ya, satu hal yang menarik dengan artinya rate cut-nya dari US ya. Itu yang pastikan likuiditas bakal mulai tersebar ke seluruh dunia lagi nih. Biasanya kalau sudah seperti ini harga kripto bakal naik. Biasanya.
Cuma kan ini kita lagi di efek pasca halving. Di efek pasca halving ini kita lihat aja apakah efeknya akan sebesar. Karena momentum halvingnya antara ada dan tidak ada ini sekarang.
Tapi saya berharap Bitcoin bisa berhasil menembus 100 ribu. Sejujurnya di awal tahun depan lah. Kita lihat aja gimana. Karena likuditas itu kunci semua komoditas bergerak. Kita bisa melihat sekarang emas harganya sudah mulai naik banyak.
Cuma Bitcoin yang masih saya anggap masih gerak di tempat. Sightways sudah sejak bulan Maret. Harapannya minimal dia menantang ke 75 ribu.
Kalau misalnya dari Porto lu sendiri, boleh spil nggak dari 100% cash atau liquid asset? Berapa persennya yang crypto? Kalau dari saya, saya masih megang crypto cukup sangat besar. Tapi sekarang saya punya banyak aset dalam bentuk bisnis juga. Karena bisnisnya yang kenderit cash flow buat saya.
Oke, terus ada satu lagi, ceritain awal merintis Indodaxo ini mau pertanyaan 30 menit, mungkin ini kali ya, mungkin lebih ke arah beda gak sih dari segi struggle yang dulu sama yang sekarang? Beda, beda banget. Karena kalau kita bicara dulu ya, Dulu Indonesia itu bisnis kripto yang tidak kelegulasi.
Jadi dalam arti kita dianggap sebagai bisnis yang abu-abu kehitam. Karena bisnis ini tidak diatur pemerintah, bisnis ini kita perusahaan yang terbaik, kita menjamin dan kita membantu supaya masyarakat transaksi kripto gampang. Yang penting customer puas, kita happy, mereka happy.
Kalau sekarang kita bicara bisnis ini mulai teregulasi. Ada peran pemerintah di situ. Pemerintah sebagai pengawas, kemudian transaksi kita juga diawasin. Tapi itu sama.
Poinnya adalah customer harus happy dan customer harus dipastikan mereka puas menggunakan layanan kita. Makanya dari sisi Indodex kita selalu menempatkan customer first. Kita harus memastikan customer selalu merasa asetnya aman dan nyaman.
Jadi regardless insiden apapun, regardless apapun yang terjadi, customer harus aman. Benar. Dan cuma Indodex yang membuktikan hal itu. Iya. Saya sangat menghargai dari pendekatan Anda.
Pertama, lu tanggapinnya cepat. Pada hari yang sama langsung ngomong kayak gitu. Terus kedua, ya gue kan juga bisa lock-in dan bisa withdraw segala macam.
Itu yang bikin gue hati tenang lah jadinya. Karena kalau kita bicara recover, kita salah satu crypto AC yang tercepat recover. Crypto AC yang pernah ke-hack.
Semua recover-nya kan lebih dari 80 jam. Kita salah satu world record lah. Membutuhkan waktu untuk maintenance itu tuh, kan gue baca komen-komennya juga kan, ada orang yang appreciate, ya kan, wah thank you udah digercap dan segala macam, tapi ada orang yang ngerasa 5 hari itu kelamaan gitu. Ada orang yang ngerasa gitu kan? 3 hari.
Kenapa sih membutuhkan 3 hari, apakah, kan tadi kan identifikasi pas di hari pertama udah langsung gitu kan. Nah sisanya itu... Kan kita ada proses audit ya.
jadi audit yang terparti yang kemudian nyekan semua sistem kita semua kode kita dibaca ulang, ditas ulang biar kita sudah engaging 6 security auditor itu tetap kita harus dapat green light dari mereka kalau mereka sudah oke baru kita bisa update Oke, itu yang menyebabkan butuh waktu lah. Sampai kasih giveaway 9 juta per jam, kita bilang, gila, ada orang. Karena kita percaya bahwa customer itu kan kalau menunggu, pasti kasa waktunya lama, kan. Kita ingin membuat customer itu, mereka happy dan mereka juga puas. Mungkin mereka mintanya laman kali, bro.
Supaya gak stop giveaway-nya. 9 juta per jam, loh. 3 juta per jam. Iya, tapi kan 3 orang.
Nggak, 3 juta. masing-masing 1 juta. Oh, oke, oke. Tapi totalnya terbesar sih. Totalnya 250 juta rupiah.
Ya, lumayan, bro. Lumayan. 1 giveaway terbesar, ya?
Iya, iya. 1 giveaway terbesar. Cuma tinggal kasih komen, terpetuan. Iya, iya.
Ya, mungkin mereka bilangnya kenapa selesai cepat, gitu. Kalau selama-lamanya, ya, game-game lanjut. Oke, pertanyaan terakhir nih, bro.
Apa ketakutan terbesar Pak Oscar selama ngurusin Indodax? Ketakutan saya terbesar, yang pasti adalah ngecewain customer. Ya, karena... Saya percaya kalau integritas itu yang paling penting dalam bisnis apapun.
Kalau integritas kita sudah rusak, kita nggak bisa bisnis apapun kok. Jadi hidup kita sudah selesai gitu kan. Makanya yang selalu dijaga adalah integritas. Nama baik.
Selama kita masih punya integritas, kita punya nama baik, kita mulai dari titik apapun, kita akan bisa naik ke atas. Tapi kalau integritas dan nama baik kita sudah rusak, mau kayak apapun susah buat naik ke atas. Setuju.
Thank you banget, Bro Oscar, for your time. Terima kasih.