#Web3SecurityGuide

你的助记词是唯一重要的钥匙。拥有它的人就控制了你的钱包——没有例外，没有恢复，没有申诉。把它写在纸上，存放在一个私密的地方，绝不要在任何网站、应用或聊天中输入它。甚至一次都不要。
硬件钱包对于重要资产来说不是可选的。如果你的私钥从未接触过联网设备，那么一类攻击就会消失。把它当作保险箱——而不是你随意携带或暴露的东西。

每一次智能合约交互都存在风险。在批准交易之前，务必清楚你在签署什么。盲目授权是大部分钱包被盗的根源。如果一个dApp请求无限制的代币访问权限，使用后立即撤销。
Web3中的钓鱼攻击并不明显。它可能看起来像支持消息、悬浮在真实网站上的广告链接、几乎相同的域名，或者随机空投。危险很微妙——每次点击前都要放慢速度。
为不同用途使用不同的钱包。一个用于存储(冷钱包，未触及)，另一个用于交互(铸造、索取、试验)。这种隔离本身就能保护你的整个资产。

代币授权不会过期——它们会在后台静静堆积。定期审查并撤销不再需要的权限。旧的权限是隐藏的漏洞。
对于大量资产，多签钱包值得额外付出努力。如果一台设备被攻破，你的资金仍然受到保护。现在多走几步，未来可以避免全部损失。

没有任何协议是绝对安全的。不是最大的名字，也不是最值得信赖的平台。分散你的风险，定期审查，永远不要在链上存放超过你能承受损失的资产。
Web3的安全不是一套方案——它是一种思维方式。