#Web3SecurityGuide

Ваша фраза-сід — це не пароль. Це вся ваша ідентичність у мережі. Як тільки вона покидає ваші руки — введена на сайті, вставлена у приватне повідомлення, сфотографована та збережена у хмарі — ви більше не володієте своїм гаманцем. Ви просто позичаєте його у того, хто першим знайде цей файл.

Більшість людей втрачають кошти не через необережність, а через поспіх. Спливаюче вікно здається знайомим. Мод у Discord здається корисним. Затвердження контракту здається рутиною. Той мить довіри, яку ви надаєте неправильній адресі, — і все готово.

Апаратура для зберігання коштів важлива, але це не кінець вашої відповідальності. Підписання шкідливої транзакції на апаратному гаманці — це все одно, що підписати шкідливу транзакцію. Пристрій захищає ваш приватний ключ від витягання. Він не захищає вас від схвалення того, чого не слід.

Перш ніж щось підписати, запитайте себе, що ви фактично дозволяєте. Не те, що говорить сайт. Те, що каже необроблена транзакція. Інструменти, такі як Rabby або вбудовані симулятори сучасних гаманців, показують вам реальний результат — перекази токенів, дозволи, взаємодії з контрактами — перед підтвердженням. Використовуйте їх щоразу без винятку.

Дозволи на токени — одна з найбільш недооцінених точок атаки у Web3. Коли ви дозволяєте контракту витрачати необмежену кількість токенів, ця дозволеність залишається в мережі назавжди. Скасуйте дозволи, які більше не потрібні. Ліцензія кожного відкритого дозволу — це двері, які ви забули зачинити.

Розділяйте свої гаманці за призначенням. Гарячий гаманець, яким ви користуєтеся щодня для дрібних транзакцій, має містити лише те, що ви готові втратити повністю. Основні активи зберігайте у холодному сховищі, до якого рідко отримуєте доступ, на пристрої, що не має зв’язку з іншим програмним забезпеченням.

Фішинг у Web3 давно вийшов за межі фальшивих електронних листів. Зловмисники тепер копіюють цілі протоколи до найменших деталей, купують спонсоровані пошукові оголошення для шахрайських URL-адрес і компрометують офіційні сервери Discord. Збережіть закладки для протоколів, якими користуєтеся. Ніколи не шукайте DeFi-додаток і не натискайте перший результат.

Будьте особливо обережні з будь-чим, що обіцяє відновити втрачені кошти, пропонує несподіваний аірдроп або зв’язується з вами першим. Легітимні протоколи не звертаються до вас самі. Якщо хтось докладає зусиль, щоб допомогти вам отримати безкоштовні гроші, він намагається отримати доступ до ваших коштів.

Найстійкіша звичка безпеки — це проста: сповільніться перед підтвердженням. Кожна незворотня дія в мережі заслуговує принаймні десять секунд усвідомленої уваги. Більшість зломів успішні тому, що користувачі рухаються швидше, ніж думають.