#Web3SecurityGuide

Web3SecurityGuide——保护您的加密资产的关键步骤

安全不是一次性设置。它是一种持续的实践。以下是一份在 Web3 中让您的资产保持安全的实用指南。

1. 种子短语就是您的钱包

您的 12 或 24 个单词的种子短语掌控着您的资金。任何拥有这些单词的人都可以立即掏空您的钱包。

切勿在任何网站、应用或弹窗中输入您的种子短语。切勿将其截图保存到手机，或存为计算机上的文本文件。请用纸记录，或将其刻在金属上。将其存放在安全的非数字位置。

如果有人索要您的种子短语，那是在试图从您这里盗走资产。任何合法的支持团队都不会要求您提供它。

2. 重要资产请使用硬件钱包

硬件钱包会将您的私钥保持离线状态。它们不受恶意软件、键盘记录器和远程黑客攻击的影响。

对于任何您不愿意失去的金额，请使用硬件钱包。进行日常交易和小额余额时，像 MetaMask 这样的软件钱包也许可以接受，但风险更高。

切勿在任何软件钱包中输入您的硬件钱包种子短语。

3. 定期撤销代币授权

每次您交换代币或与 DeFi 协议交互时，您都会授予该合约花费您代币的授权。旧的、未使用的授权是重要的攻击切入点。

使用像 Revoke cash 或 Etherscan 的代币授权检查器之类的免费工具，每周检查并撤销授权。移除您不再使用的协议的授权。

4. 在签名前核实每一笔交易

恶意合约可能伪装成合法合约。签名前务必仔细阅读交易预览。

留意合约提出的无限授权请求：当合约要求无限制的花费权限时要提高警惕。留意您不认识的意外函数名称或收款地址。放慢速度。骗子依赖速度和分散注意力。

5. 将钱包按不同用途进行隔离

用一个钱包进行长期存储。用另一个钱包进行 DeFi 交互、铸币和交易。再用第三个钱包测试新协议或连接不熟悉的网站。

如果其中一个钱包被攻破，您的其他资金仍然安全。这种隔离策略不需要花费任何成本，却能保护一切。

6. 警惕钓鱼攻击

大多数加密货币被盗都始于一个假链接。骗子会冒充合法的协议、交易所，甚至新闻来源。

为您使用的每一个协议添加官方 URL 的书签。不要点击 Google 广告来进入网站。在连接钱包前再次核对 URL。不要相信以私信形式提供“支持”的人，或宣称您的账户存在紧急问题的人。

7. 保持软件更新

过时的钱包扩展、浏览器版本和操作系统都包含已知漏洞。

如可能请启用自动更新。使用专用于加密活动的浏览器，并只安装必要的扩展。移除您不再使用的扩展。

8. 先从小额测试开始

在向新地址转入大量资金或与新协议交互之前，先发送一笔小额测试交易。

确认接收地址无误。确认合约的行为符合预期。测试成功后，再进行更大金额的转账。耐心可以避免永久损失。

9. 了解智能合约交互的风险

DeFi 协议可能会被黑客攻击。稳定币可能脱锚。桥接可能会被利用。即使您采用了正确的安全实践，如果底层合约存在漏洞，仍然无法保护您。

只把您愿意完全损失的资金投入到协议中。将资金分散到多个平台和多条链上。关注协议新闻；一旦有漏洞报告，请暂停相关活动。

10. 制定事件响应计划

一旦您怀疑被攻破，务必清楚知道该做什么。立即将您的钱包与任何 dApp 断开连接。如果仍有机会，将剩余资金转移到新钱包，并撤销该被攻破钱包的所有授权。

如果您的种子短语已被泄露，请假设该钱包中的每一项资产都面临风险。使用新的种子短语创建一个新钱包，并在攻击者行动之前转移资金。

最终规则

安全很无聊，而损失一点也不无聊。把无趣的习惯放在激动人心的捷径之前。真正最好的安全指南，就是您每天都能实际遵守的那一份。

保持安全。保持怀疑。沉默地积累。