#Web3SecurityGuide

你的助记词是你在链上拥有的一切资产的主钥匙。请把它写在纸上，并存放在多个彼此物理隔离的地点；永远不要把它输入到任何网站、应用或AI聊天机器人中——包括这个。只要它一旦接触到任何与互联网相连的屏幕，就要假设它已经被泄露。

硬件钱包之所以存在，是有原因的。把大部分资产保持离线冷存储。热钱包里应该只放你完全承担得起全部损失的那部分资产，除此之外不必多放。把它想象成你口袋里的现金与保险库里的存款。

在你签署任何内容之前，先阅读你到底在签署什么。大多数人点“批准/同意”时根本不检查合约地址、权限范围，也不确认自己访问的网站是否是真正的那个。Web3里的钓鱼攻击看起来不会像“尼日利亚王子”的邮件——它看起来像你每天使用的DEX的像素级克隆，只是URL里换了一个字符。

代币授权是一种几乎所有人都会忽略的沉默风险。当你授权某个合约去花费你的代币时，这个权限不会自动过期。请使用链上工具定期审查你的活跃授权，并撤销任何你不再使用或不再认识的授权。

多签（Multi-sig）不仅仅适用于DAO或协议。如果你持有的是有意义的资产规模，那么采用2-of-3的设置——也就是任何交易都必须由两个独立的钱包签名——是当下零售用户最容易被低估的个人安全升级之一。

虚假的空投声称已经比大多数漏洞更早、更多地“掏空”了钱包。如果你的钱包里出现了你并未赚取的代币，而合约要求你做任何事情——访问某个站点、签署一条消息、批准一笔支出——就无视它。交互就是陷阱。

社交工程是任何智能合约审计都无法修复的攻击手段。2025年最复杂的黑客攻击并不是破解了代码——而是击穿了人。比如：一条提供合作的DM、一个Discord版主要求你验证钱包、客服代表索要你的私钥。它们都不是真的。所有这些都是攻击。

把一切都进行隔离。只为Web3交互单独使用一个浏览器配置文件。不要随意浏览、不要收发电子邮件、不要安装你完全无法信任的扩展程序。用于处理任何涉及大额余额的操作的独立设备，并不是“偏执”——而是相称的安全措施。

在任何交互之前，从官方来源验证合约地址。不要依赖Telegram。不要依赖置顶推文。不要依赖Google广告。请直接进入项目的官方文档或链上浏览器，并手动交叉核对。

Web3里的安全并不是你买一次就结束的产品。它是一种需要你持续建立的习惯，因为对手每天都在更新他们的手法。