#Web3SecurityGuide

你的助记词不是密码。它是你在链上的全部身份。只要它离开你的手——在网站上输入、粘贴到私信中、拍照存储在云端——你就不再拥有你的钱包。你只是借用它，借给第一个找到那份文件的人。

大多数人被盗不是因为他们粗心，而是因为他们太着急。弹窗看起来很熟悉，Discord管理员似乎很帮忙，合约授权感觉很常规。那一瞬间的信任，扩展到错误的地址，就足够了。

硬件钱包很重要，但它并不是你责任的终点。在硬件钱包上签署恶意交易仍然是在签署恶意交易。设备保护你的私钥不被提取，但不能保护你不批准不该批准的内容。

在你签署任何内容之前，先问问你实际上授权了什么。不是网站说你授权了什么，而是原始交易显示的内容。像Rabby或现代钱包内置的模拟器可以在你确认前显示真实输出——代币转账、授权、合约交互。每次都要使用它们，绝不例外。

代币授权是Web3中最容易被忽视的攻击面之一。当你授权合约无限制地花费代币时，这个权限会在链上无限期存在。撤销你不再需要的授权。把每个未关闭的授权都当作忘记锁门的门。

按用途分开你的钱包。每天用来进行小额交易的热钱包，只存放你愿意完全失去的资产。你的主要资产应存放在冷钱包中，少用，存取时用的设备不应连接其他软件。

Web3中的钓鱼攻击早已超越假冒邮件。攻击者现在会完整克隆协议，甚至到像素级别，购买广告位投放诈骗网址，攻占官方Discord服务器。收藏你常用的协议链接。绝不要搜索DeFi应用然后点击第一个结果。

尤其要小心任何承诺帮你找回丢失资金、提供意外空投或主动联系你的项目。合法的协议不会主动联系你。如果有人特意帮你获取免费资金，他们其实是在试图窃取你的钱。

最持久的安全习惯很简单：在确认前放慢速度。每一个不可逆的链上操作都值得你花至少十秒的深思。大多数漏洞成功的原因是用户行动比思考更快。