#Web3SecurityGuide

Ваш приватний ключ — це ваша ідентичність. Не ваш пароль. Не ваша електронна пошта. Ваш приватний ключ. У той день, коли ви його поділите — випадково, під тиском або через переконливий сайт — ви передасте комусь ключі від усього, що у вас є на блокчейні. Відшкодувань не буде. Команд відновлення — теж. Апеляцій — немає. Лише порожній гаманець і урок, який ви засвоїли на власному досвіді.

Фішинг досі залишається найефективнішою атакою у Web3, і він став розумнішим. Тепер він вже не виглядає як поганий переклад із сумнівного домену. Це може бути термінове повідомлення від протоколу, якому ви довіряєте, особисте повідомлення у Discord від когось із знайомим ім’ям користувача або посилання на "створити" (mint now), яке з’являється саме тоді, коли ажіотаж досягає піку. Перед натисканням будь-чого зупиніться. Угода, яка зникає за 10 хвилин, майже завжди створена для того, щоб змусити вас припинити думати.

Апарати для зберігання коштів (hardware wallets) існують з однієї причини: щоб переконатися, що ваш приватний ключ ніколи не потрапить на пристрій, підключений до Інтернету. Якщо ви тримаєте будь-яку суму криптовалюти, яку вам справді шкода втратити, апаратний гаманець — не опція, а обов’язкова необхідність. Це базовий рівень безпеки. Гарячі гаманці підходять для невеликих, активних балансів — ставте їх як витратний гаманець, а не сховище.

Затвердження токенів — це мовчазний ризик, який більшість ігнорує. Щоразу, коли ви взаємодієте з смарт-контрактом і дозволяєте доступ до токенів, ви даєте цьому контракту право переміщати ваші кошти. Необмежені дозволи поширені через зручність. Вони також — спосіб, яким зламаний протокол може витягнути кошти з гаманця через місяці після початкової взаємодії. Регулярно перевіряйте свої дозволи. Скасовуйте ті, що більше не використовуєте.

Seed-фрази мають зберігатися офлайн. Записані на папері, збережені у фізично безпечному місці, ніколи не фотографуйте, ніколи не вводьте у додатки або браузерні розширення, ніколи не зберігайте у нотатках або хмарних сховищах. Як тільки ваша seed-фраза з’являється у цифровому вигляді, вона стає вразливою. Одна зламана хмара, один вірус, один зламаний синхронізаційний процес — і вона зникне.

Ризик смарт-контрактів не зникає після аудиту. Аудити виявляють відомі вразливості на певний момент часу. Вони не гарантують, що протокол буде безпечним назавжди. Перед інвестуванням значних коштів у будь-який DeFi-протокол перевірте, чи команда розкрила свою особистість (doxxed), чи контракти підтверджені в мережі, чи є блокування часу для адміністративних функцій і чи має протокол довгу історію, окрім кількох тижнів хайпу.

Мультипідписні налаштування не лише для DAO та інституцій. Якщо ви керуєте гаманцем із значною сумою, вимога кількох дозволів перед відправкою транзакції — один із найменш використовуваних захистів для окремих власників. Це значно ускладнює атаку.

Останній рубіж захисту — дисципліна, а не технології. Жодна налаштування гаманця не захистить того, хто підтверджує кожне спливаюче вікно, підключається до кожного сайту і сприймає терміновість як привід пропустити перевірку. Безпека Web3 — це не продукт, який ви встановлюєте. Це звичка, яку ви формуєте — і вона посилюється з часом, якщо ви залишаєтеся послідовним.