#Web3SecurityGuide

Frasa seed Anda bukanlah sebuah kata sandi. Itu adalah seluruh identitas Anda di blockchain. Saat frasa tersebut meninggalkan tangan Anda — diketik ke sebuah situs web, ditempelkan ke DM, difoto dan disimpan di cloud — Anda tidak lagi memiliki kendali atas dompet Anda. Anda hanya meminjamnya dari siapa pun yang menemukan file tersebut terlebih dahulu.

Kebanyakan orang kehilangan dana bukan karena ceroboh, tetapi karena terburu-buru. Jendela pop-up terlihat familiar. Moderator Discord tampak membantu. Persetujuan kontrak terasa rutin. Sekejap kepercayaan itu, yang diberikan kepada alamat yang salah, adalah semua yang dibutuhkan.

Dompet perangkat keras penting, tetapi itu bukan akhir dari tanggung jawab Anda. Menandatangani transaksi berbahaya di dompet perangkat keras tetap berarti menandatangani transaksi berbahaya. Perangkat melindungi kunci pribadi Anda dari diekstraksi. Tetapi tidak melindungi Anda dari menyetujui sesuatu yang seharusnya tidak Anda setujui.

Sebelum Anda menandatangani apa pun, tanyakan apa yang sebenarnya Anda otorisasi. Bukan apa yang dikatakan situs bahwa Anda otorisasi. Apa yang dikatakan transaksi mentah. Alat seperti Rabby atau simulator bawaan di dompet modern menunjukkan output sebenarnya — transfer token, persetujuan, interaksi kontrak — sebelum Anda konfirmasi. Gunakan mereka setiap saat tanpa terkecuali.

Persetujuan token adalah salah satu permukaan serangan yang paling sering diabaikan di Web3. Ketika Anda menyetujui kontrak untuk menghabiskan token tanpa batas, izin itu tetap hidup di chain selamanya. Cabut persetujuan yang tidak lagi Anda perlukan. Perlakukan setiap persetujuan terbuka sebagai pintu yang lupa Anda kunci.

Pisahkan dompet Anda berdasarkan tujuan. Dompet panas yang Anda gunakan setiap hari untuk transaksi kecil sebaiknya hanya menyimpan apa yang Anda nyaman kehilangan sepenuhnya. Kepemilikan utama Anda harus disimpan di cold storage, diakses jarang, di perangkat yang tidak menyentuh perangkat lunak lain.

Phishing di Web3 telah berkembang jauh melampaui email palsu. Penyerang sekarang menyalin seluruh protokol hingga ke pixel, membeli penempatan pencarian bersponsor untuk URL scam, dan merusak server Discord resmi. Tandai protokol yang Anda gunakan. Jangan pernah mencari aplikasi DeFi dan klik hasil pertama.

Hati-hati terutama dengan apa pun yang menjanjikan memulihkan dana yang hilang, menawarkan airdrop tak terduga, atau menghubungi Anda terlebih dahulu. Protokol yang sah tidak akan menghubungi Anda. Jika seseorang berusaha keras membantu Anda mengakses uang gratis, mereka sedang mencoba mengakses uang Anda.

Kebiasaan keamanan yang paling tahan lama adalah yang sederhana: pelan-pelan sebelum Anda konfirmasi. Setiap tindakan yang tidak dapat dibatalkan di chain memerlukan setidaknya sepuluh detik perhatian yang sengaja. Kebanyakan eksploitasi berhasil karena pengguna bergerak lebih cepat dari yang mereka pikirkan.