#Web3SecurityGuide

Cụm từ seed của bạn không phải là mật khẩu. Đó là toàn bộ danh tính của bạn trên chuỗi. Ngay khi nó rời khỏi tay bạn — gõ vào một trang web, dán vào tin nhắn riêng, chụp ảnh và lưu trữ trên đám mây — bạn đã không còn sở hữu ví của mình nữa. Bạn chỉ đang mượn nó từ người nào đó tìm thấy tập tin đó đầu tiên.

Hầu hết mọi người bị mất tiền không phải vì họ bất cẩn, mà vì họ vội vàng. Một cửa sổ pop-up trông quen thuộc. Một quản trị viên Discord có vẻ hữu ích. Một sự phê duyệt hợp đồng cảm thấy bình thường. Khoảnh khắc tin tưởng đó, gửi đến địa chỉ sai, là tất cả những gì cần thiết.

Ví phần cứng quan trọng, nhưng chúng không phải là trách nhiệm cuối cùng của bạn. Ký một giao dịch độc hại trên ví phần cứng vẫn là ký một giao dịch độc hại. Thiết bị bảo vệ khóa riêng của bạn khỏi bị trích xuất. Nó không bảo vệ bạn khỏi việc phê duyệt những thứ bạn không nên.

Trước khi ký bất cứ điều gì, hãy hỏi xem bạn thực sự đang ủy quyền điều gì. Không phải những gì trang web nói bạn đang ủy quyền. Mà là những gì giao dịch gốc nói. Các công cụ như Rabby hoặc trình giả lập tích hợp trên ví hiện đại cho bạn xem kết quả thực — chuyển token, phê duyệt, tương tác hợp đồng — trước khi xác nhận. Sử dụng chúng mỗi lần mà không ngoại lệ.

Phê duyệt token là một trong những bề mặt tấn công bị bỏ qua nhiều nhất trong Web3. Khi bạn phê duyệt một hợp đồng để chi tiêu token không giới hạn, quyền đó tồn tại trên chuỗi mãi mãi. Thu hồi các quyền bạn không còn cần nữa. Xem mọi quyền mở mà bạn quên khóa như một cánh cửa bạn quên khóa lại.

Phân chia ví của bạn theo mục đích. Một ví nóng bạn dùng hàng ngày cho các giao dịch nhỏ chỉ nên chứa những gì bạn sẵn sàng mất hoàn toàn. Các khoản nắm giữ chính của bạn nên được lưu trữ trong ví lạnh, ít khi truy cập, trên một thiết bị không tiếp xúc với phần mềm khác.

Lừa đảo trong Web3 đã tiến xa hơn nhiều so với email giả mạo. Kẻ tấn công giờ đây sao chép toàn bộ giao thức đến từng pixel, mua vị trí tìm kiếm có tài trợ cho các URL lừa đảo, và xâm phạm các máy chủ Discord chính thức. Đánh dấu các giao thức bạn sử dụng. Đừng bao giờ tìm kiếm một ứng dụng DeFi và nhấp vào kết quả đầu tiên.

Hãy đặc biệt cẩn thận với bất cứ thứ gì hứa hẹn khôi phục tiền bị mất, cung cấp airdrop bất ngờ, hoặc liên hệ với bạn lần đầu. Các giao thức hợp pháp không liên hệ trực tiếp. Nếu ai đó cố gắng giúp bạn truy cập tiền miễn phí, họ đang cố gắng lấy cắp tiền của bạn.

Thói quen bảo mật bền vững nhất là đơn giản: chậm lại trước khi xác nhận. Mọi hành động không thể hoàn tác trên chuỗi đều xứng đáng có ít nhất mười giây suy nghĩ cẩn thận. Hầu hết các vụ tấn công thành công đều do người dùng hành động nhanh hơn khả năng suy nghĩ của họ.