Web3 安全性介绍

Web3 是去中心化的 Web。但是，尽管这是 Web3 背后的理念，“去中心化”仍然有点抽象。出于所有意图和目的，今天的去中心化意味着网站和应用程序依赖的是[区块链网络]（/web3/intro-to-blockchain/）而不是集中式服务器（如同 Web 2.0 那样）。虽然 Web3 不一定依赖于加密货币和区块链网络，但今天这个概念与为其提供支持的技术几乎没有区别。

Web3 是一项建立在新技术之上的创新，既带来了独特的好处，也带来了风险。 Web3 的目标是透明、抵抗审查，最重要的是去中心化。正是这种去中心化带来了一个重要的权衡：用户面临更多的个人风险和责任。

在理想形式下，Web3 不会依赖任何中央机构或服务器，用户也不必信任那么多第三方。但是今天存在的 Web3 并没有完全消除对中央机构的信任或依赖。如今，只要上网就需要一些信任元素：按照网站、应用程序和硬件的要求，他们会保护我们的数据、金钱和身份。在 Web 2.0 中如此，在 Web3 中也是如此。因此，也许对 Web3 更好的定义是，它试图引入一种新的信任模型：将信任最小化，更加注重业务流程（通常称为协议）。

Web3 用户必须信任构成区块链网络、加密钱包、治理流程和智能合约[构建去中心化应用程序（DApps）]（/web3/what-are-dapps/）的代码。那么，Web3 并不是完全去中心化或“无需信任”的。但这些都是 Web3 支持者的核心最终目标，而且每天都在改进。

在这篇简短的文章中，我们将讨论仍然存在的安全风险，以及如何在 Web3 中保护自己。

Web3 中的系统性风险

系统性风险是指广泛的、生态系统范围内的风险，这些风险大多不在用户的控制范围内。 Web3 中系统性风险的一些示例包括：

• 普遍的经济衰退或加密货币市场波动（这可能会影响为当今大多数 Web3 DApp 提供动力的区块链）
• 不利于 Web3 或加密货币市场的立法（同样，这将对大多数 Web3 DApp 产生涓滴效应）
• 来自一些仍然集中的 Web3 服务（例如节点供应商）的流量阻塞、删除或其他审查
• 区块链网络的技术故障（例如节点运营商不可信，或网络受到恶意行为者攻击）

虽然市场波动很常见，但大多数主要的区块链网络（如 Bitcoin 和 Ethereum）多年来都经过了严重技术故障的考验。无论如何，这些风险都是区块链和加密行业所特有的，默认情况下，也是 Web3 所特有的。但是，您可以控制（或至少减少）一些风险。

Web3 中可解决的安全风险

Web3 用户应该注意的更具体的风险包括：

• 私钥丢失
• 以用户的加密货币钱包或私钥为目标的网络钓鱼、诈骗和黑客攻击（出于所有意图和目的，今天的 Web3 将加密货币钱包视为唯一的数字通行证）
• 智能合约失效和漏洞利用
• 特定区块链或加密货币公司或交易所的企业失败，它们没有受到与传统服务相同级别的政府监督（或保护，如美国 FDIC）

值得庆幸的是，您可以采取一些措施来保护自己免受这些风险。

保护您的私钥

如果您将资产存储在自托管钱包中（而不是中心化交易所），您将完全控制您的私钥，从而控制您的资产。最常见的是，私钥使用[助记词]（/web3/wallet-recovery-phrase/）进行备份，这是一组独特的 12 或 24 个单词，按特定顺序授予对加密钱包地址的访问权限。它就像您私钥的可读版本——它的功能类似于您的银行密码。助记词就像私钥一样，授予对钱包中资产的完全控制权，必须小心保护。

许多人将他们的助记词存储在防火保险箱中，并将其记录在比纸更能抵抗损坏的东西上（比如将其刻在一块钢上）。将助记词的多个副本存储在不同的位置（例如银行保险箱或家庭保险箱）也可能是明智的——但每个副本都必须安全地存储，因为助记词的每个物理实例都会增加被盗或被破解的可能性。

• [了解更多关于自我托管的优缺点。] （/web3/intro-to-crypto-custody/）*

保护自己免受网络钓鱼、诈骗和黑客攻击

保护您的私钥和助记词免遭数字盗窃也很重要——加密领域的绝大多数黑客攻击、诈骗和网络钓鱼都会以您的私钥或助记词为目标。如果黑客控制了其中任何一个，他们就会控制您的资产。

网络钓鱼是有人试图访问您的钱包的最常见方式。您可能会收到冒充他人（如支持团队成员）的电子邮件或消息，要求您提供私钥或助记词。如果您不确定某条消息是否合法，请在点击链接之前通过 Twitter、Discord 或其他客户支持方法直接联系该公司。诈骗者也可能会联系您说您赢得了奖品（例如免费加密货币），并要求您提供敏感的钱包信息。通常，您永远不应与任何人共享您的私钥和助记词。

保护您的私钥免受自动攻击和恶意软件攻击的一个很好的策略是使用自我托管的硬件钱包——一种称为“冷存储”的方法——使它们保持离线。 Ledger 和 Trezor 等设备可为您的私钥提供物理离线存储。这些设备将使用您的私钥离线安全地“签署”（或批准）交易。然后将冷钱包连接到 Internet 以广播已签名的交易。这样，当您在线时，您的私钥永远不会被泄露。硬件钱包是安全、离线加密货币存储的黄金标准，但您需要确保它们像助记词一样安全。

注意：Brave 永远不会要求您提供 Brave 钱包助记词。切勿与 Brave 或任何其他人分享此信息。

当心智能合约失效和漏洞利用

去中心化 Web 充满依赖区块链网络的网站和 DApp。这些网络完全建立在（或至少有一些核心逻辑在其上运行）智能合约之上。智能合约——自动执行的基于区块链的程序——是 Web3 的基础。它们非常新颖，代码中很容易出错（如果它们是自动执行的，那将是灾难性的）。黑客经常寻找智能合约代码中的错误，他们可以利用这些错误从 DApp 或其用户那里窃取资金。恶意行为者甚至可能故意开发旨在耗尽加密货币钱包资产的智能合约。

值得庆幸的是，许多 Web3 开发人员都高度意识到密闭代码的重要性。与任何开源项目一样，开发人员保持代码简单、执行严格和定期的安全审计以及在向公众发布产品之前寻求正式验证是至关重要的——尤其是在涉及用户资金的情况下。当然，大多数人不具备评估代码以确定服务或 DApp 是否安全的技术专长，很容易被试图窃取资金的攻击者抓住漏洞

所以，您可以做什么？以下列出一些措施：

• 尝试坚持使用具有安全记录的知名 DApp
• 尽量避免可能带来更多风险的较新的 DApp 或服务
• 仔细检查您使用的服务的 URL（这可以在 Brave 钱包的交易签名过程中完成），并考虑将它们添加为书签以避免被重定向到仿冒网站

当心企业失败

正如本文介绍中提到的，今天的 Web3 处于一种中间状态：通常是去中心化的，但并非总是如此。这种中间状态带来风险的一种方式是集中式 Web3 公司，例如集中式加密货币交易所 (CEX)。当像这样的单一实体失败时，会给加密货币市场带来巨大的波动，并直接影响其用户（想想像 [Three Arrows Capital]（https://www.cnbc.com/2022/07/11/how-the-fall-of-three-arrows-or-3ac-dragged-down-crypto-investors.html）、[Terraform Labs]（https://www.business2community.com/crypto-news/what-is-terra-luna-and-why-did-it-crash-02493117），以及最近的 [FTX] （https://www.nytimes.com/2022/11/30/business/sam-bankman-fried-ftx-collapse.html）这样的主要例子）。这三个例子代表了一系列具有共同主线的加密货币公司（一个投资集团、一个区块链开发团队和一个 CEX）：它们是去中心化的 Web3 空间中的中心化公司。这几家公司都倒闭了，影响最大的是投资者和用户。

与互联网的任何其他角落一样，Web3 中也有破坏者。在可能的情况下，您应该尝试坚持使用大型、知名的 Web3 公司。当然，即使是加密货币领域的一些大腕也已经倒下，并不能仅仅因为一项服务受欢迎就保证它是安全的。

如果您想完全避免此类风险，请考虑[自我托管]（/web3/intro-to-crypto-custody/）。同样，Web3 并没有完全消除风险。但它确实给了您一个选择来决定您想信任谁。

一般 Web3 安全提示

通常，Web3 中的许多安全最佳实践是转化自 Web 2.0：

• 使用双因素身份验证（2FA）
• 创建可靠（即更长）的密码
• 不要在多种服务之间重复使用密码
• 警惕诈骗和网络钓鱼，下载前检查来源

另一个明智的策略是多样化。通过在自我托管钱包、CEX 和离线硬件钱包之间分散您的加密资产，可以降低损害您另一个钱包中资产的可能性。同样，在使用 DApp 时，您可以将使用的智能合约和平台多样化，而不是将所有资金存入一种协议。

Web3 让您真正有机会成为自己的保管人并控制您的资产。但这也意味着要有意识和谨慎。我们在网上所做的一切都涉及到一些信任的因素，即不知道。虽然 Web3——就像 Web 2.0——还不存在，但 Web3 的核心精神是最大限度地减少这种未知因素，并使一切更加开放和可验证。

对于那些有兴趣第一次尝试自我保管的人，或者那些在他们的钱包中寻找 Brave 级别保护的人，尝试 Brave 钱包。这是一款浏览器原生钱包，提高了加密货币自我托管的隐私和安全标准。