Web3 中的安全

再次重申，切勿分享。

骗子最喜欢诱导 Web3 用户交出或暴露私钥助记词实施诈骗。始终对任何索要私钥助记词的要求保持高度警惕。MetaMask 绝不会向您索要。

并非偶然，另一个主要攻击向量也涉及利用自主托管的风险。它涉及如何使用 MetaMask 钱包向与您交互的去中心化应用 (dapp) 授予权限。

正如我们在 什么是加密货币钱包 课程中探讨的那样，钱包是用于身份和权限管理的基本工具。一旦您使用钱包将权限让渡给第三方，就代表您同意后者执行他们所请求的任何操作，且您不可撤销。因此，您在授予权限时应当极其谨慎。

在 MetaMask 中最常见的一种让渡权限是代币批准。此类交易方式有很多种，但通常涉及授权给提出请求的去中心化应用访问指定数量的代币或 NFT。众所周知，冗长的十六进制数字和代码并不容易读懂，这就给了骗子们可乘之机：如果您不理解交易背后蕴含的含义，那么骗子就能轻易说服您同意恶意交易。骗子另一种经常使用的策略是请求无限制地访问代币，一旦获得批准，去中心化应用就可以从您的账户中随意移除任意数量的代币，因为从技术角度上讲，您已授予了许可。如果去中心化应用为恶意应用，那您的账户就将被清空。

批准和权限的含义复杂，且不断演变。然而，最重要的是：切勿批准可疑去中心化应用提交的交易，如果您不确定，则切勿授予其代币的无限访问权限。

如需了解代币批准的更多信息，请参阅深入了解下方的资源。

自主托管意味着您要对自己的资金安全全权负责。没有人可以代劳。如果您无法访问账户，没有人可以为您备份账户，或者如果您的代币被盗，没有人可以为您取回资金。您和其他有权访问您私钥助记词 (SRP) 的人士必须负全责。这项责任重大，但随着 Web3 拓展至全球各地，您必须了解和承担这份责任。

MetaMask 将用户安全放在首位；这体现在钱包的使用过程中，MetaMask 会在您执行高风险操作时发出警告；在开发 LavaMoat 等工具时确保代码的安全性，提供相关的培训。此外还有其他可用选项，可在您和恶意行为者之间增加另一层安全网。

输入硬件钱包—计算机外部的物理设备，用于保护您的账户私钥。它们独立于您通常在手机和笔记本电脑上执行的其他在线任务，例如查看电子邮件、下载应用程序以及浏览有趣的猫咪视频。

您可在执行 Web3 任务时，将硬件钱包与 MetaMask 连接，拥有更大的灵活性。使用 MetaMask 浏览去中心化应用，并在硬件钱包上签署交易。

硬件钱包与 MetaMask（软件钱包）双管齐下，您将在自主托管过程中承担更多责任，享受更高的安全性。