#Web3SecurityGuide

你的私钥是你在 Web3 中拥有任何资产的唯一证明。没有客服支持，没有密码重置，也没有银行可以联系。如果它泄露了，你的资产会在你读完这则通知之前就已经不见了。

把你的 seed phrase 写在纸上——或者更好，写在 metal backup plate 上——并将其存放在一个具备物理安全保障的地方。切勿将其输入到任何网站、应用或聊天中。也不要给它拍照。只要它存在于任何联网设备之上，就已经处于风险当中。

凡是你认为重要的内容，都使用 hardware wallet。cold wallet 会让你的签名密钥保持离线，这意味着即使电脑被攻破，也仍然无法把你的资产转走。把它当作房门钥匙，而不是密码。

在签署任何交易之前，先阅读你究竟在签署什么。wallet pop-ups 往往会显示底层合约交互的原始内容。如果你看到“approve unlimited spending”，而你并没有明确提出该请求，请拒绝它。Approval phishing 是人们损失资金最常见的方式之一——攻击者会让你只授权一次，然后就可以随心所欲地在他们需要的时候把资金提走。

独立核实 contract addresses。假代币以及克隆的 DeFi 前端被设计得与真实内容几乎一模一样。在你与其交互之前，请先在 official project docs 中或通过 trusted block explorer 对地址进行交叉核对。

把风险隔离开来。为日常交互保留一只 hot wallet，用于长期持有则使用 cold wallet。切勿使用你的主钱包去铸造 free NFTs、测试未知协议，或连接由陌生人发来的链接。

对“紧迫感”保持怀疑。稀缺话术、倒计时以及“limited whitelist（限量白名单）”信息都是出于设计目的的社交工程。合法的协议不需要逼你在短时间内快速签署任何东西。

如果你使用 browser extension wallet，只从 official browser store 安装，并核实发布者。扩展被伪装成“真品”是确实存在的威胁。请定期审查你已安装的扩展，并移除任何你并没有在积极使用的内容。

Web3 里的安全不是协议为你提供的功能。这是你个人的责任，而这种责任从你创建第一个钱包的那一刻起就已经开始了。