#Web3SecurityGuide

你的錢包不是銀行帳戶。沒有客服專線，沒有反詐騙部門，也沒有人在資金消失時可以打電話求助。在 Web3 中，你是最後一道安全防線——這既是力量，也是風險。

首先值得了解的是，大多數人實際被利用的方式。很少是高級駭客攻擊。通常是假的連結、看起來一模一樣的釣魚網站、假裝是開發者的 Discord 訊息，或是你在未閱讀的情況下簽署的惡意代幣授權。攻擊面幾乎總是人為因素。

種子短語值得在此特別強調。那 12 或 24 個字是所有資產的主鑰匙。絕對不要將它們存在照片、雲端硬碟、訊息應用、電子郵件或任何連接到網路的地方。用紙寫下來，並存放在實體安全的地方。如果有人在任何情況下、任何理由要求提供它們——那就是詐騙。絕對不要。

硬體錢包的存在是有原因的。如果你在鏈上持有有價值的資產，硬體錢包能將簽署過程完全移出你的連網裝置。被入侵的筆記型電腦無法抽走硬體錢包中的私鑰，因為私鑰從未接觸到該裝置。這是以成本換來的最高杠杆安全升級之一。

代幣授權是這個領域中最被低估的攻擊途徑。當你與協議互動時，經常會授權它花費你錢包中的代幣。許多人會授權無限制的數量，卻從不再檢查這些權限。定期審核你的活躍授權，撤銷你不再使用或不認識的授權。現有工具可以讓這變得簡單。

按用途分開你的錢包。用來鑄幣、測試新協議或與未知合約互動的錢包，絕不要與存放你的核心資產的錢包相同。將你的主要錢包視為冷錢包——很少觸碰，從不連結到陌生網站。

簽署任何操作前都要放慢速度。大多數成功的攻擊都依賴緊迫感。限時優惠、專屬存取窗口、關於帳戶被入侵的恐慌訊息——這些都是施加壓力，讓你在思考前就做出反應的手段。仔細閱讀交易內容只需十秒，卻能避免價值數百萬的損失。

這個領域變化迅速，威脅也在不斷演進。如果你想保持安全，保持資訊更新絕對不是選擇。