#Web3SecurityGuide

Ваше seed phrase — головний ключ до всього, що ви маєте в ончейні. Запишіть її на папері, зберігайте в кількох фізично розділених місцях і ніколи не вводьте її на жодному сайті, в додатку чи AI-чатботі — включно з цим. Як тільки вона торкнеться екрана, підключеного до інтернету, вважайте її скомпрометованою.
Існують апаратні гаманці з певної причини. Тримайте більшість своїх активів у холоді. Гарячий гаманець має містити лише те, що ви можете дозволити собі втратити повністю, нічого більше. Уявіть це як готівку в кишені проти заощаджень у сховищі.
Перш ніж підписувати будь-що, прочитайте, що саме ви насправді підписуєте. Більшість людей натискає approve, не перевіряючи адресу контракту, обсяг дозволів або чи той сайт, на якому вони перебувають, є справжнім. Фішинг у Web3 не виглядає як лист нігерійського принца — він виглядає як піксель-у-піксель клон DEX, яким ви користуєтеся щодня, з однією заміненою літерою в URL.
Дозволи на токени — це тихий ризик, який майже всі ігнорують. Коли ви approve контракт, щоб витрачати ваші токени, цей дозвіл не закінчується сам собою. Регулярно аудитіть свої активні дозволи за допомогою ончейн-інструментів і revoke все, що ви більше не використовуєте або не впізнаєте.
Мультисиг — це не лише для DAO або протоколів. Якщо ви тримаєте значну кількість активів, налаштування 2-of-3, де два окремі гаманці мають підписати будь-яку транзакцію, — це одне з найнедооцінених персональних покращень безпеки, доступних сьогодні роздрібному користувачу.
Фальшиві заяви про аірдропи випатрали більше гаманців, ніж більшість експлойтів виносять у заголовки. Якщо у вашому гаманці з’являються токени, яких ви не заробили, і контракт просить зробити щось — відвідати сайт, підписати повідомлення, approve витрату — ігноруйте це. Взаємодія — пастка.
Соціальна інженерія — це вектор атаки, який не може виправити жоден аудит смарт-контракту. Найвитонченіші хакі в 2025 році не ламали код — вони ламали людей. DM із пропозицією співпраці, модератор Discord, який просить верифікувати ваш гаманець, представник служби підтримки, який запитує ваш private key. Жодне з цього не є справжнім. Усе це — атаки.
Сегментуйте все. Один профіль браузера лише для Web3-взаємодій. Жодного випадкового перегляду, жодної пошти, жодних розширень, яким ви повністю не довіряєте. Окремий пристрій для всього, що стосується великих балансів, — це не параноя, а пропорційний підхід.
Перевіряйте адреси контрактів з офіційних джерел перед будь-якою взаємодією. Не з Telegram. Не з закріпленого твіту. Не з Google ad. Зверніться безпосередньо до офіційної документації проєкту або on-chain explorer і звірте вручну.
Безпека в Web3 — це не продукт, який ви купуєте один раз. Це звичка, яку ви формуєте безперервно, тому що люди з іншого боку щодня оновлюють свої методи.