#Web3SecurityGuide

你的種子短語是你在鏈上所有資產的主鑰匙。請將它寫在紙上，存放在多個實體隔離的地方，並且絕不要在任何網站、應用程式或 AI 聊天機器人（包括此一）中輸入。一旦它接觸到連接到網路的螢幕，就假設它已被危害。

硬體錢包的存在是有原因的。將大部分資產保持冷錢包。熱錢包應只存放你可以完全承擔損失的資產，僅此而已。可以將它比作口袋裡的現金與金庫中的存款。

在簽署任何內容之前，務必閱讀你實際簽署的內容。大多數人點擊「批准」時，沒有檢查合約地址、許可範圍，或是該網站是否為真實網站。Web3中的釣魚攻擊並不長得像尼日利亞王子郵件——它看起來像是你每天使用的去中心化交易所（DEX）的像素完美克隆，只是在網址中換了一個字元。

代幣授權是一個幾乎所有人都忽略的潛在風險。當你批准合約花費你的代幣時，該許可不會自動過期。請定期使用鏈上工具審核你的活躍授權，並撤銷你不再使用或不認識的授權。

多簽（Multi-sig）不僅僅是為了 DAO 或協議。如果你持有大量資產，設置一個 2-of-3 的多簽方案——即兩個不同錢包必須簽署任何交易——是目前零售持有者最被低估的個人安全升級之一。

假冒空投申請已經耗盡的錢包比大多數漏洞造成的新聞更為頻繁。如果你的錢包中出現你未獲得的代幣，且合約要求你做任何事情——訪問網站、簽署訊息、批准支出——請忽略它。與之互動就是陷阱。

社交工程是沒有任何智能合約審計能解決的攻擊途徑。2025年最先進的駭客攻擊不是破壞程式碼——而是破壞人心。一個私訊提供合作、一個 Discord 管理員要求驗證你的錢包、一個客服代表索取你的私鑰，這些都不是真實的。它們都是攻擊手段。

將一切分隔開來。專用一個瀏覽器配置檔用於 Web3 互動。不要隨意瀏覽、不要打開電子郵件、不要使用你不完全信任的擴充套件。用另一台設備處理大額資產並非偏執——這是合理的比例。

在任何互動之前，務必從官方渠道驗證合約地址。不要從 Telegram、置頂推文或 Google 廣告中獲取。直接前往項目的官方文件或鏈上瀏覽器，並手動交叉比對。