#Web3SecurityGuide

A sua carteira não é uma conta bancária. Não há uma linha de suporte ao cliente, nem departamento de fraude, e ninguém para ligar quando os fundos desaparecem. No Web3, você é a última camada de segurança — e essa é tanto a força quanto o risco.

A primeira coisa que vale a pena entender é como a maioria das pessoas realmente é explorada. Raramente é um hack sofisticado. É um link falso, um site de phishing que parece idêntico ao real, uma mensagem no Discord de alguém que finge ser um desenvolvedor, ou uma aprovação de token maliciosa que você assinou sem ler. A superfície de ataque é quase sempre humana.

As frases-semente merecem seu próprio momento aqui. Essas 12 ou 24 palavras são a chave mestra de tudo. Elas nunca devem existir numa foto, numa nuvem, num aplicativo de mensagens, num email, ou em qualquer lugar conectado à internet. Escreva-as em papel. Armazene-as em um local fisicamente seguro. Se alguém alguma vez pedir por elas — em qualquer contexto, por qualquer motivo — é um golpe. Ponto final.

As carteiras de hardware existem por uma razão. Se você possui valor significativo na cadeia, uma carteira de hardware transfere o processo de assinatura completamente para fora do seu dispositivo conectado à internet. Um laptop comprometido não consegue esvaziar uma carteira de hardware porque a chave privada nunca toca na máquina. É uma das melhorias de segurança com maior alavancagem pelo custo.

As aprovações de tokens são o vetor de ataque mais subestimado no espaço. Quando você interage com um protocolo, muitas vezes concede permissão para gastar tokens da sua carteira. Muitas pessoas aprovam quantidades ilimitadas e nunca revisitam essas permissões. Faça auditorias regulares às suas aprovações ativas e revogue tudo o que você não usa mais ou não reconhece. Existem ferramentas que tornam isso simples.

Separe suas carteiras por propósito. Uma carteira que você usa para cunhar, testar novos protocolos ou interagir com contratos desconhecidos nunca deve ser a mesma carteira que mantém seus ativos principais. Trate sua carteira principal como um endereço de armazenamento frio — raramente tocada, nunca conectada a sites desconhecidos.

Diminua a velocidade antes de assinar qualquer coisa. A maioria dos ataques bem-sucedidos depende de urgência. Ofertas por tempo limitado, janelas de acesso exclusivo, mensagens que induzem ao pânico sobre sua conta estar comprometida — essas são táticas de pressão projetadas para fazer você agir antes de pensar. Ler exatamente o que uma transação está pedindo para você autorizar leva dez segundos e já evitou perdas de milhões.

O espaço se move rápido e as ameaças evoluem com ele. Manter-se informado não é opcional se você quer ficar seguro.