Web3 新手最大的损失,往往不是机会判断错误,而是安全动作不到位。 这篇只整理安全知识点。
一、钱包分层
至少把钱包分成三层:
- 冷钱包或长期钱包:只存长期资产,不连接陌生网站。
- 日常钱包:用于常用 DeFi、交易和资产调度。
- 任务钱包:用于空投、测试网、Mint、低成本交互。
任务钱包里不要放大额资产。 主钱包不要拿去做陌生任务。
二、助记词和私钥保存
助记词是资产控制权。
基本原则:
- 不截图。
- 不发微信。
- 不存网盘。
- 不复制到陌生软件。
- 不输入到任何网页。
- 不给任何客服、群友或陌生账号。
- 纸质或离线介质备份。
- 大额资产考虑硬件钱包。
如果助记词暴露,钱包就不要再继续使用。
三、转账前必须确认链
转账最常见的错误是转错链。
转账前检查:
- 收款地址是否正确。
- 收款平台是否支持这条链。
- 代币是否是同一个合约。
- 是否先小额测试。
- 测试到账后再转大额。
交易所不支持某条链时,转过去很可能无法找回。 即使可以找回,也可能流程慢、成本高、结果不确定。
四、用区块浏览器查交易
每个新手都应该学会查哈希。
区块浏览器能看:
- 交易是否成功。
- 转出地址和转入地址。
- 交易时间。
- 交易金额。
- Gas 消耗。
- 合约交互对象。
- Token 转移记录。
常见工具:
- Etherscan:以太坊生态。
- Solscan:Solana 生态。
- Debank:多链资产和钱包活动。
- Metasleuth:钱包活动和资金流线索。
查不到资产时,不要只看钱包前端。 先用区块浏览器确认链上真实状态。
五、授权管理
很多 DeFi 和空投任务需要授权。 授权不是转账,但授权过大可能让合约有能力转走你的代币。
建议:
- 任务后定期检查授权。
- 对陌生合约不要无限授权。
- 高风险任务完成后取消授权。
- 主钱包尽量不授权陌生合约。
- 授权前确认域名、合约和来源。
常用授权检查工具:
- Revoke
- 钱包内置授权管理
- 区块浏览器 Token Approval 页面
六、脚本安全
很多任务说明会出现脚本、插件、自动化工具。
不懂代码时,至少做这些检查:
- 脚本是否要求输入助记词或私钥。
- 是否把数据发到陌生服务器。
- 是否有混淆代码。
- 是否要求关闭杀毒或浏览器安全设置。
- 是否来自官方仓库。
- 是否有多人长期使用和公开审查。
不懂就不要用主钱包跑脚本。 真的要跑,也用空钱包、小额资金、隔离环境。
七、浏览器和插件安全
浏览器是 Web3 的高风险入口。
注意事项:
- Chrome 及时更新。
- 钱包插件只从官方商店或官网安装。
- 不要安装来路不明的翻译、广告、自动化插件。
- 不要相信搜索结果顶部的广告网站。
- 官方入口从官方 Twitter、文档或可信数据库进入。
- 指纹浏览器也不是绝对安全,不能存放高价值钱包。
搜索引擎广告位经常出现钓鱼站。 访问前要核对域名。
八、手机安全
手机常用于 Telegram、交易所、钱包和二次验证。
换手机前要确认:
- 交易所 2FA 可迁移。
- 钱包助记词已离线备份。
- Telegram 可登录和备份。
- 邮箱可登录。
- 手机号仍可接码。
- 旧手机清除前确认所有账号已转移。
不要只依赖一台手机保存所有入口。
九、交易所资产安全
大额资产不建议长期放在单一交易所。
交易所安全建议:
- 开启二次验证。
- 设置资金密码。
- 设置提现白名单。
- 不点陌生邮件链接。
- 大额资产分散存放。
- 长期资产优先冷钱包。
- 交易所活动账户和主资产账户分开。
交易所也可能出现账户被盗、平台限制、地区限制或链支持问题。
十、安全优先级
最重要的安全顺序:
- 保护助记词。
- 主钱包不做任务。
- 转账先小额测试。
- 只从官方入口访问。
- 定期取消授权。
- 高价值账号开启 2FA。
- 不运行不懂的脚本。
- 做好账号和资产记录。
Web3 安全没有一次性完成,只有长期维护。