#Web3SecurityGuide

Frasa seed Anda adalah kunci utama untuk semua yang Anda miliki di blockchain. Tuliskan di atas kertas, simpan di beberapa lokasi fisik yang terpisah, dan jangan pernah mengetikkannya ke situs web, aplikasi, atau chatbot AI apa pun — termasuk yang ini. Begitu frasa seed itu menyentuh layar yang terhubung ke internet, anggaplah itu sudah dikompromikan.
Dompet perangkat keras ada untuk alasan tertentu. Jaga sebagian besar aset Anda tetap dalam kondisi dingin. Dompet panas sebaiknya hanya menyimpan apa yang mampu Anda kehilangan sepenuhnya, tidak lebih. Anggap saja seperti uang tunai di saku Anda versus tabungan di brankas.
Sebelum Anda menandatangani apa pun, baca apa yang sebenarnya Anda tandatangani. Kebanyakan orang langsung klik approve tanpa memeriksa alamat kontrak, cakupan izin, atau apakah situs yang mereka gunakan adalah yang asli. Phishing di Web3 tidak terlihat seperti email pangeran Nigeria — phishing itu terlihat seperti klon yang sangat presisi dari DEX yang Anda pakai setiap hari, dengan satu karakter diganti di URL.
Persetujuan token adalah risiko diam-diam yang hampir semua orang abaikan. Saat Anda menyetujui sebuah kontrak untuk membelanjakan token Anda, izin itu tidak akan berakhir dengan sendirinya. Audit persetujuan aktif Anda secara berkala menggunakan alat on-chain, lalu cabut apa pun yang tidak lagi Anda gunakan atau kenali.
Multi-sig bukan hanya untuk DAOs atau protokol. Jika Anda memegang jumlah aset yang berarti, pengaturan 2-of-3 di mana dua dompet terpisah harus menandatangani setiap transaksi adalah salah satu peningkatan keamanan pribadi yang paling diremehkan yang tersedia bagi pemegang ritel saat ini.
Klaim airdrop palsu telah menguras lebih banyak dompet daripada sebagian besar eksploit yang jadi berita utama. Jika token muncul di dompet Anda yang tidak Anda peroleh dan kontrak meminta Anda melakukan apa pun — mengunjungi sebuah situs, menandatangani pesan, menyetujui pengeluaran — abaikan saja. Berinteraksi adalah jebakannya.
Rekayasa sosial adalah vektor serangan yang tidak bisa diperbaiki oleh audit smart contract. Peretasan paling canggih di tahun 2025 tidak merusak kode — mereka merusak manusia. DM yang menawarkan kolaborasi, moderator Discord yang meminta Anda memverifikasi dompet Anda, perwakilan dukungan pelanggan yang meminta kunci pribadi Anda. Tidak satu pun dari ini nyata. Semuanya adalah serangan.
Kompartemenkan semuanya. Satu profil browser khusus untuk interaksi Web3 saja. Tidak ada browsing santai, tidak ada email, tidak ada ekstensi yang tidak sepenuhnya Anda percaya. Perangkat terpisah untuk apa pun yang melibatkan saldo besar bukanlah paranoia — itu proporsional.
Verifikasi alamat kontrak dari sumber resmi sebelum melakukan interaksi apa pun. Bukan dari Telegram. Bukan dari tweet yang dipin. Bukan dari iklan Google. Langsung kunjungi dokumentasi resmi proyek atau penjelajah on-chain, lalu lakukan cross-reference secara manual.
Keamanan di Web3 bukanlah produk yang Anda beli sekali saja. Itu adalah kebiasaan yang Anda bangun secara berkelanjutan, karena orang-orang di sisi lain terus memperbarui metode mereka setiap hari.