Kamus Crypto

Apa Itu Session Key di Smart Wallet? Izin Terbatas untuk dApp tanpa Tanda Tangan Tiap Aksi

Session key adalah kunci sementara di smart wallet yang memberi dApp izin terbatas—misal maks 0,1 ETH per transaksi—tanpa popup tanda tangan setiap aksi.

WalletAccount Abstraction

Session key adalah kunci kriptografi sementara yang diberikan pengguna ke sebuah dApp agar dApp tersebut dapat menandatangani transaksi secara otomatis, tanpa memerlukan persetujuan manual setiap kali ada aksi. Berbeda dengan private key utama yang memberi akses penuh, session key bekerja dalam kotak pasir dengan tiga pembatas utama: batas nilai (misal maks 0,05 ETH per transaksi), daftar kontrak yang boleh diakses, dan masa berlaku (misal 24 jam).

Mengapa Session Key Dibutuhkan

Tanpa session key, setiap interaksi on-chain — swap token, klaim reward, move karakter di game blockchain — memicu popup konfirmasi di wallet. Di game Web3 dengan ratusan aksi per sesi atau bot DeFi yang perlu eksekusi cepat, pola ini tidak praktis.

Session key memecahkan masalah ini dengan cara yang lebih aman dibanding solusi lama: pengguna tidak perlu menyerahkan private key atau seed phrase ke dApp. Kunci sementara ini diikat ke account abstraction — arsitektur smart wallet yang memungkinkan logika kustom di level akun, bukan hanya di level protokol.

Cara Kerja Session Key

  1. Pembuatan kunci — wallet membuat pasangan kunci baru (publik/privat) khusus untuk sesi ini.
  2. Registrasi izin — pengguna menandatangani satu transaksi yang mendaftarkan kunci tersebut ke smart contract wallet dengan aturan: kontrak mana yang boleh diakses, berapa nilai maksimum, dan kapan kunci kedaluwarsa.
  3. Eksekusi otomatis — selama sesi berlangsung, dApp menggunakan session key untuk menandatangani transaksi tanpa interaksi tambahan dari pengguna.
  4. Pencabutan — pengguna bisa mencabut session key kapan saja, atau kunci hangus otomatis saat waktu berakhir.

Batasan yang Bisa Dikonfigurasi

ParameterContoh Nilai
Batas nilai per transaksiMaks 0,1 ETH
Kontrak yang diizinkanHanya kontrak game X
Masa berlaku8 jam / 24 jam
Jumlah transaksiMaks 50 kali

Fleksibilitas ini membuat session key lebih granular dibanding memberi akses penuh. Bahkan jika dApp diretas, penyerang hanya bisa mengeksploitasi dalam batas yang sudah ditetapkan.

Siapa yang Menggunakan Session Key

Session key sudah dipakai di beberapa ekosistem:

  • Game blockchain (Immutable, Ronin) — agar pemain tidak perlu tanda tangan untuk setiap gerakan atau transaksi in-game.
  • Bot DeFi dan auto-compound — eksekusi strategi otomatis dalam parameter yang sudah disetujui pengguna.
  • Passkey wallet — digabung dengan passkey wallet untuk pengalaman Web2-like tanpa seed phrase.
  • Safe dan smart account — modul session key tersedia di ERC-7579 dan berbagai implementasi smart account.

Risiko yang Perlu Diperhatikan

Session key bukan tanpa risiko. Bug pada kontrak dApp tetap bisa menyebabkan kerugian dalam batas izin yang sudah diberikan. Jika dApp mencantumkan batas nilai yang terlalu besar atau kontrak yang terlalu luas, izin tersebut sama berbahayanya dengan akses penuh.

⚠️ Selalu periksa parameter izin session key sebelum menyetujui: nilai maksimum, daftar kontrak, dan masa berlaku. Jika ada parameter yang tidak jelas atau terlalu luas, tolak dan tanyakan ke tim dApp.

Session key adalah komponen penting dalam roadmap wallet generasi berikutnya — pengalaman pengguna semulus aplikasi biasa, tapi dengan kontrol aset tetap di tangan pengguna.

Belajar DeFi Langsung — Bukan Hanya Teori

WhaleX Masterclass 2 Hari: dari setup wallet sampai LP DeFi aktif menghasilkan. Praktik langsung, dipandu mentor berpengalaman.

Lihat Jadwal Kelas →

Pertanyaan Umum

Apa itu session key di crypto?

Session key adalah kunci kriptografi sementara yang diberikan ke dApp agar bisa menandatangani transaksi atas nama pengguna, dengan batasan ketat seperti nilai maksimum, kontrak tujuan, dan durasi waktu tertentu.

Apakah session key aman untuk digunakan di DeFi?

Session key relatif aman karena izinnya terbatas—dApp tidak bisa akses lebih dari yang diizinkan. Namun pengguna tetap harus memeriksa batas izin sebelum menyetujui, karena bug pada kontrak dApp masih bisa dieksploitasi.