#Web3SecurityGuide

Chìa khóa riêng của bạn là danh tính của bạn. Không phải mật khẩu của bạn. Không phải email của bạn. Chìa khóa riêng của bạn. Ngày bạn chia sẻ nó — dù vô tình, do áp lực hay một trang web trông có vẻ đáng tin cậy — là ngày bạn trao cho ai đó chìa khóa của tất cả những gì bạn sở hữu trên chuỗi. Không có hoàn tiền. Không có đội phục hồi. Không có quyền kháng cáo. Chỉ còn lại một ví trống rỗng và bài học đắt giá đã học.

Lừa đảo qua email vẫn là hình thức tấn công hiệu quả nhất trong Web3, và nó ngày càng tinh vi hơn. Nó không còn trông giống như một bản dịch kém từ một tên miền mập mờ nữa. Nó trông giống như một thông báo khẩn cấp từ một giao thức bạn tin tưởng, một tin nhắn Discord từ ai đó với tên người dùng quen thuộc, hoặc một liên kết "mint ngay" xuất hiện đúng lúc cơn sốt đang đạt đỉnh. Hãy chậm lại trước khi nhấp vào bất cứ thứ gì. Giao dịch biến mất trong 10 phút gần như luôn là cái bẫy được thiết kế để khiến bạn ngừng suy nghĩ.

Ví phần cứng tồn tại với một lý do: để đảm bảo chìa khóa riêng của bạn không bao giờ chạm vào thiết bị kết nối internet. Nếu bạn đang giữ bất kỳ số lượng tiền điện tử nào mà bạn thực sự sẽ rất tiếc nếu mất, ví phần cứng không phải là thiết bị tùy chọn. Nó là mức tối thiểu. Ví nóng phù hợp cho số dư nhỏ, hoạt động thường xuyên — hãy coi chúng như một ví chi tiêu, không phải một két an toàn.

Phê duyệt token là một rủi ro âm thầm mà hầu hết mọi người bỏ qua. Mỗi lần bạn tương tác với hợp đồng thông minh và phê duyệt quyền truy cập token, bạn đang cấp cho hợp đồng đó quyền di chuyển quỹ của bạn. Phê duyệt không giới hạn rất phổ biến vì tiện lợi. Chúng cũng là cách mà một giao thức bị xâm phạm rút tiền khỏi ví của bạn nhiều tháng sau lần tương tác ban đầu. Hãy kiểm tra các phê duyệt của bạn định kỳ. Thu hồi quyền truy cập của những thứ bạn không còn sử dụng nữa.

Cụm từ seed nên để offline. Viết trên giấy, lưu trữ ở nơi an toàn về mặt vật lý, không chụp ảnh, không nhập vào bất kỳ ứng dụng hay tiện ích mở rộng trình duyệt nào, không lưu trữ trong ứng dụng ghi chú hay đám mây. Ngay khi cụm từ seed của bạn tồn tại dưới dạng kỹ thuật số, nó trở nên dễ bị tổn thương. Một vụ vi phạm đám mây, một phần mềm độc hại xâm nhập, một đồng bộ bị xâm phạm — và nó biến mất.

Rủi ro hợp đồng thông minh không biến mất sau một cuộc kiểm tra. Các cuộc kiểm tra phát hiện các mẫu lỗ hổng đã biết tại một thời điểm nhất định. Chúng không đảm bảo rằng một giao thức sẽ an toàn mãi mãi. Trước khi đầu tư một khoản vốn đáng kể vào bất kỳ giao thức DeFi nào, hãy xem xét liệu nhóm có đã tiết lộ danh tính, các hợp đồng có được xác minh trên chuỗi không, có có khóa thời gian cho các chức năng quản trị không, và liệu giao thức có thành tích vượt ra ngoài vài tuần hype hay không.

Cấu hình đa chữ ký không chỉ dành cho DAO và các tổ chức lớn. Nếu bạn quản lý một ví chứa giá trị lớn, yêu cầu nhiều phê duyệt trước khi thực hiện bất kỳ giao dịch nào là một trong những biện pháp bảo vệ ít được sử dụng nhất dành cho các cá nhân. Nó làm tăng đáng kể chi phí của một cuộc tấn công.

Lớp phòng thủ cuối cùng là kỷ luật, không phải công nghệ. Không có ví nào bảo vệ ai đó khi họ phê duyệt mọi cửa sổ pop-up, kết nối với mọi trang web, và coi sự khẩn cấp là lý do để bỏ qua bước xác minh. An ninh Web3 không phải là một sản phẩm bạn cài đặt. Đó là thói quen bạn xây dựng — và nó sẽ càng hiệu quả hơn khi bạn duy trì đều đặn.