#Web3SecurityGuide

Kunci pribadi Anda adalah identitas Anda. Bukan kata sandi Anda. Bukan email Anda. Kunci pribadi Anda. Hari Anda membagikannya — entah secara tidak sengaja, karena tekanan, atau melalui situs web yang tampak meyakinkan — adalah hari Anda menyerahkan kunci ke semua yang Anda miliki di onchain. Tidak ada chargeback. Tidak ada tim pemulihan. Tidak ada banding. Hanya dompet kosong dan pelajaran yang dipelajari dengan cara keras.

Phishing masih menjadi serangan paling efektif di Web3, dan serangan ini semakin pintar. Sekarang tidak lagi terlihat seperti terjemahan buruk dari domain yang mencurigakan. Tapi seperti pengumuman mendesak dari protokol yang Anda percaya, pesan DM di Discord dari seseorang dengan nama pengguna yang familiar, atau tautan "mint sekarang" yang muncul tepat saat hype sedang puncaknya. Tenang sebelum Anda mengklik apa pun. Kesepakatan yang hilang dalam 10 menit hampir selalu dirancang untuk membuat Anda berhenti berpikir.

Dompet perangkat keras ada untuk satu alasan: memastikan kunci pribadi Anda tidak pernah menyentuh perangkat yang terhubung ke internet. Jika Anda memegang sejumlah crypto yang benar-benar akan membuat Anda kecewa jika hilang, dompet perangkat keras bukanlah perlengkapan opsional. Itu adalah standar dasar. Dompet panas cocok untuk saldo kecil dan aktif — anggap saja sebagai dompet pengeluaran, bukan brankas.

Persetujuan token adalah risiko diam-diam yang paling sering diabaikan orang. Setiap kali Anda berinteraksi dengan kontrak pintar dan menyetujui akses token, Anda memberi kontrak tersebut hak untuk memindahkan dana Anda. Persetujuan tanpa batas umum dilakukan karena praktis. Tapi ini juga cara protokol yang dikompromikan menguras dompet berbulan-bulan setelah interaksi awal. Periksa persetujuan Anda secara rutin. Batalkan apa pun yang sudah tidak Anda gunakan.

Frase seed harus disimpan secara offline. Ditulis di atas kertas, disimpan di tempat yang aman secara fisik, jangan pernah difoto, jangan pernah diketik ke dalam aplikasi atau ekstensi browser, jangan pernah disimpan di aplikasi catatan atau cloud drive. Begitu frase seed Anda ada secara digital, ia menjadi rentan. Satu pelanggaran cloud, satu infeksi malware, satu sinkronisasi yang dikompromikan — dan semuanya hilang.

Risiko kontrak pintar tidak hilang setelah audit. Audit menangkap pola kerentanan yang diketahui pada satu titik waktu. Mereka tidak menjamin protokol aman selamanya. Sebelum menginvestasikan modal yang berarti ke protokol DeFi apa pun, periksa apakah timnya doxxed, apakah kontraknya diverifikasi di onchain, apakah ada penguncian waktu pada fungsi admin, dan apakah protokol memiliki rekam jejak yang lebih dari beberapa minggu hype.

Pengaturan multi-signature tidak hanya untuk DAO dan institusi. Jika Anda mengelola dompet yang memegang nilai signifikan, membutuhkan beberapa persetujuan sebelum transaksi keluar adalah salah satu perlindungan paling jarang digunakan oleh pemegang individu. Ini secara dramatis meningkatkan biaya serangan.

Garis pertahanan terakhir adalah disiplin, bukan teknologi. Tidak ada pengaturan dompet yang melindungi seseorang yang menyetujui setiap popup, menghubungkan ke setiap situs, dan menganggap urgensi sebagai alasan untuk melewati verifikasi. Keamanan Web3 bukan produk yang Anda pasang. Itu adalah kebiasaan yang Anda bangun — dan itu akan semakin kuat semakin konsisten Anda melakukannya.