#Web3SecurityGuide

Ваша seed-фраза — головний ключ до всього, що ви володієте on-chain. Запишіть її на папір, зберігайте в кількох фізично відокремлених місцях і ніколи не вводьте її на будь-який веб-сайт, додаток чи чат-бот зі штучним інтелектом — включаючи цей. З того моменту, коли вона потрапить на екран, підключений до інтернету, вважайте її скомпрометованою.

Апаратні гаманці існують не просто так. Тримайте основну частину ваших активів в холодному зберіганні. Гарячий гаманець повинен містити лише те, що ви можете дозволити собі втратити повністю, не більше. Думайте про це як про готівку в кишені проти заощаджень у сейфі.

Перш ніж підписати щось, прочитайте, що саме ви підписуєте. Більшість людей клікають approve без перевірки адреси контракту, обсягу дозволу чи того, чи є сайт справжнім. Фішинг у Web3 не виглядає як поштова адреса нігерійського принца — він виглядає як ідеально скопійований клон DEX, яким ви користуєтесь щодня, з одним змінено символом у URL.

Схвалення токенів — мовчазний ризик, який майже кожен ігнорує. Коли ви схвалюєте контракт для витрати ваших токенів, це дозвіл не закінчується автоматично. Регулярно перевіряйте активні схвалення за допомогою on-chain інструментів і скасовуйте все, що ви більше не використовуєте чи не розпізнаєте.

Multi-sig — це не лише для DAO або протоколів. Якщо ви тримаєте значну кількість активів, setup 2-з-3, де два окремих гаманці повинні підписати будь-яку транзакцію, — це один з найбільш недооцінених особистих заходів безпеки для роздрібного трейдера на сьогодні.

Поддельні претензії на airdrop спустошили більше гаманців, ніж більшість експлойтів потрапляють в заголовки. Якщо в вашому гаманці з'являються токени, які ви не заробили, і контракт просить вас щось зробити — відвідати сайт, підписати повідомлення, схвалити витрату — ігноруйте це. Взаємодія — це пастка.

Соціальна інженерія — це вектор атаки, який ніяка перевірка розумного контракту не може виправити. Найсофістичніші взломи 2025 року не порушили код — вони порушили людей. DM про співпрацю, модератор Discord, що просить верифікувати ваш гаманець, представник служби підтримки, що запитує ваш приватний ключ. Нічого з цього не є справжнім. Все це — атаки.

Розділяйте всередину. Один профіль браузера лише для взаємодій Web3. Без випадкового перегляду, безпеки електронної пошти, без розширень, у які ви не повністю довіряєте. Окремий пристрій для всього, що стосується великих обсягів, — це не паранойя, це пропорційний підхід.

Перевіряйте адреси контрактів з офіційних джерел перед будь-якою взаємодією. Не з Telegram. Не з закріпленого твіту. Не з реклами Google. Йдіть прямо на офіційну документацію проекту або на обозрювач блокчейну і перехресно перевірте вручну.

Безпека у Web3 — це не продукт, який ви купуєте один раз. Це звичка, яку ви постійно розвиваєте, тому що люди по той бік оновлюють свої методи кожного дня.