#Web3SecurityGuide

Frasa benih Anda adalah kunci utama untuk semua yang Anda miliki di blockchain on-chain. Tuliskan di atas kertas, simpan di beberapa lokasi fisik yang terpisah, dan jangan pernah mengetiknya ke situs web, aplikasi, atau chatbot AI apa pun — termasuk yang ini. Begitu frasa itu menyentuh layar yang terhubung ke internet, anggap saja frasa tersebut telah dikompromikan.

Dompet perangkat keras ada untuk alasan tertentu. Jaga sebagian besar aset Anda tetap dalam kondisi dingin. Dompet panas sebaiknya hanya menyimpan apa yang mampu Anda kehilangan sepenuhnya, tidak lebih. Anggap saja seperti uang tunai di saku Anda versus tabungan di brankas.

Sebelum Anda menandatangani apa pun, bacalah apa yang sebenarnya Anda tanda tangani. Kebanyakan orang langsung mengklik setujui tanpa memeriksa alamat kontrak, cakupan izin, atau apakah situs yang mereka kunjungi adalah yang asli. Phishing di Web3 tidak terlihat seperti email pangeran Nigeria — tetapi seperti klon DEX yang Anda gunakan setiap hari, dengan satu karakter diganti di URL.

Persetujuan token adalah risiko diam-diam yang hampir semua orang abaikan. Saat Anda menyetujui sebuah kontrak untuk membelanjakan token Anda, izin itu tidak akan kedaluwarsa dengan sendirinya. Audit persetujuan aktif Anda secara berkala menggunakan alat on-chain dan cabut apa pun yang tidak lagi Anda gunakan atau kenali.

Multi-sig bukan hanya untuk DAOs atau protokol. Jika Anda memegang jumlah aset yang berarti, pengaturan 2-dari-3 di mana dua dompet terpisah harus menandatangani setiap transaksi adalah salah satu peningkatan keamanan pribadi yang paling kurang dihargai yang tersedia bagi pemegang ritel saat ini.

Klaim airdrop palsu telah menguras lebih banyak dompet daripada sebagian besar eksploit yang ramai diberitakan. Jika token muncul di dompet Anda yang tidak Anda peroleh dan kontrak meminta Anda melakukan apa pun — mengunjungi sebuah situs, menandatangani sebuah pesan, menyetujui pengeluaran — abaikan itu. Berinteraksi adalah jebakannya.

Rekayasa sosial adalah vektor serangan yang tidak bisa diperbaiki oleh audit smart contract apa pun. Peretasan paling canggih di 2025 tidak merusak kode — mereka merusak orang. DM yang menawarkan kolaborasi, moderator Discord yang meminta Anda memverifikasi dompet Anda, perwakilan dukungan pelanggan yang meminta kunci privat Anda. Tidak ada satu pun yang nyata. Semuanya adalah serangan.

Kompartementalisasi semuanya. Satu profil browser khusus untuk interaksi Web3 saja. Tidak ada browsing santai, tidak ada email, tidak ada ekstensi yang tidak Anda percayai sepenuhnya. Perangkat terpisah untuk apa pun yang melibatkan saldo besar bukanlah paranoia — itu proporsional.

Verifikasi alamat kontrak dari sumber resmi sebelum melakukan interaksi apa pun. Bukan dari Telegram. Bukan dari tweet yang dipinned. Bukan dari iklan Google. Langsung buka dokumentasi resmi proyek atau penjelajah on-chain, lalu lakukan cross-reference secara manual.

Keamanan di Web3 bukanlah produk yang Anda beli sekali saja. Itu adalah kebiasaan yang Anda bangun terus-menerus, karena orang di sisi lain memperbarui metode mereka setiap hari.