#Web3SecurityGuide

你的種子短語不是密碼。它是你在鏈上的整個身份。當它離開你的手——輸入網站、貼到私訊、拍照存到雲端——你就不再擁有你的錢包。你只是借用它，給第一個找到那個檔案的人。

大多數人被盜不是因為粗心，而是因為匆忙。一個彈出視窗看起來很熟悉。一個 Discord 管理員似乎很幫忙。一份合約批准感覺很常見。那一瞬間的信任，擴展到錯誤的地址，就這麼簡單。

硬體錢包很重要，但它並不是你責任的終點。在硬體錢包上簽署惡意交易仍然是在簽署惡意交易。裝置可以保護你的私鑰不被提取，但不能保護你不批准不該批准的東西。

在你簽署任何東西之前，先問自己你實際授權了什麼。不是網站說你授權了什麼，而是原始交易內容。像 Rabby 或現代錢包內建的模擬器，會在你確認前顯示真實的輸出——代幣轉移、授權、合約互動。每次都務必使用它們。

代幣授權是 Web3 中最容易被忽視的攻擊面之一。當你批准合約可以無限制地花費代幣，這個權限會在鏈上永久存在。撤銷你不再需要的授權。把每個未關閉的授權都當作忘了鎖門的門。

按用途分開你的錢包。每天用來進行小額交易的熱錢包，應該只存放你願意完全失去的資金。你的主要資產應該存放在冷錢包，少用且只在不接觸其他軟體的裝置上存取。

Web3 的釣魚攻擊已經遠遠超過假冒電子郵件。攻擊者現在會完整克隆協議，甚至到像素級別，購買贊助搜尋廣告放置在詐騙網址上，並入侵官方 Discord 伺服器。收藏你常用的協議網址。絕不要搜尋 DeFi 應用並點擊第一個結果。

尤其要小心任何承諾幫你找回資金、提供意外空投或主動聯繫你的訊息。合法的協議不會主動聯繫你。如果有人特意幫你獲取免費資金，他們其實是在試圖盜取你的資金。

最持久的安全習慣很簡單：在你確認之前放慢速度。每一個不可逆的鏈上操作都值得你花至少十秒的深思。大多數的攻擊成功，是因為用戶動作比自己想像的還要快。