Web3 与加密资产
安全最佳实践

在加密世界里，你就是自己的银行。这意味着你拥有完全的控制权，同时也要承担全部责任。本指南将带你了解一些实用习惯，帮助你尽可能安全地保护资产。

快速上手：不要被“清空钱包”

本指南面向已经在使用自托管钱包（如 MetaMask、Phantom 等）的 Rodeyo 玩家和创作者。如果你刚接触钱包，建议先用极小金额做几次测试转账，直到你感觉顺手为止。

绝不要在任何地方输入或分享你的 Secret Recovery Phrase（助记词）。
采用三层钱包架构：冷库、交易钱包、Burner 钱包。
阅读每一条签名请求，在确认高风险操作前先用交易模拟工具检查。
定期撤销旧的代币和 NFT 授权。
启用非短信 2FA，并加固邮箱、Discord 等所有沟通渠道的安全。

保护你的助记词

一旦泄露，资产可能在几分钟内被转走。没有“重置密码”按钮，也没有客服可以帮你回滚——Rodeyo 不能撤销这些交易。

绝对不要

不要给助记词拍照或截图。
不要把它保存在邮箱、云盘、聊天软件或密码管理器中。
不要在网站、应用或弹窗中输入助记词。
不要与任何人分享，包括所谓的“客服”“管理员”或朋友。

务必做到

把助记词写在纸上，或刻在金属板上保存。
存放在防水、防火的实体保险箱等物理安全的位置。
在存入较大金额前，使用钱包的验证步骤确认每个单词都正确无误。

任何 Rodeyo 管理员、版主或客服都不会向你索取 Secret Recovery Phrase 或私钥。若有人索要，一定是骗局。

使用多层钱包策略

Diagram showing a three-tier wallet strategy with a Cold Vault, Trader, and Burner wallet

不要把所有鸡蛋放在同一个篮子里。根据使用频率和风险等级，把资产分成三个“桶”。

用冷库（Cold Vault）保存长期资产，用交易钱包（Trader）在可信平台上日常使用，用 Burner 钱包来进行高风险或实验性操作。

最高安全等级

1. 冷库（Cold Vault）

硬件钱包（如 Ledger/Trezor）。不直接连接 dApp，只向交易钱包划转资金。

长期持有（HODL）资产、稀有 NFT、高价值游戏物品。

中等风险

2. 交易钱包（Trader）

在 Uniswap、Rodeyo、OpenSea 等可信平台使用的软件钱包（如 MetaMask）。

日常交易、上架物品、在知名 dApp 上进行可信的铸造操作。

高风险

3. Burner 钱包

余额很少的临时钱包。用于铸造新项目（尚未验证）或点击可能存在风险的链接。

“degen” 式铸造、空投猎人、测试新游戏或新工具。

资金流动方向保持单向：Cold Vault → Trader → Burner。避免从冷库直接把资金打进新的、未经验证的合约或随机网站。

安全地签名交易

加密钱包通常只展示代码和数字，而不是通俗易懂的说明。在点击“Confirm”之前，你应该非常清楚这笔交易会从你的钱包中转出什么。

在 Rodeyo 和其他 dApp 中，你只应该为登录消息或自己发起的操作（如上架、购买等）签名。如果突然弹出你没主动触发的签名请求，立刻取消并再次检查网站 URL 是否正确。

使用交易模拟工具

安装 Pocket Universe、Wallet Guard 等浏览器扩展。它们会在真正发送前模拟交易，并以清晰的摘要展示会转移哪些代币和 NFT。

撤销授权（Revoke Allowances）

如果你为某个代币授权了“Unlimited Spending”，那么该 dApp 在未来的任何时间都有能力划走这些代币。请定期撤销旧的授权，尤其是在使用完高风险网站之后。

打开 revoke.cash

签名时的危险信号

如果交易中出现这些迹象，请放慢节奏，仔细确认自己在批准什么。

为了铸造在发送 ETH？

如果所谓“免费铸造”的交易显示你要发送的远不止一点点 gas 费，一定要高度警惕。继续之前，务必再次核对官方链接。

SetApprovalForAll（NFT 授权）

如果你看到 'SetApprovalForAll'，说明你正在允许该合约在无需再次确认的情况下操作这一整套 NFT。只在你完全信任的市场和合约上授予这种权限。

识别常见骗局

地址投毒（Address Poisoning）

骗子会从一个和你地址极为相似的地址（前 4 位和后 4 位相同）给你发送 0 美元的交易，混淆你的最近交易记录。

Friend:0x123...ABCD

Scammer:0x123...ABCE

务必检查地址中间的字符，或使用地址簿功能。不要从“最近交易列表”里直接复制地址。

假空投 / 钓鱼网站

如果你的钱包突然多出一个陌生 NFT，并提示你去指定网址领取奖励，那几乎肯定是骗局。不要点击，不要交互。

把 rodeyo.com 等官方网址加入浏览器书签。
不要随手点击 Google 搜索结果中的第一个广告链接——很多骗局就伪装成广告。
在连接钱包之前，先通过 Rodeyo 官方公告确认新铸造或活动是否真实存在。

觉得自己可能已经被攻破时

尽快行动，把损失降到最低

1
立即停止签名并断开连接
立刻停止与可疑网站的一切互动。关闭浏览器标签页，并拒绝所有等待中的钱包请求。
2
把剩余资产转移到新钱包
在一台干净的设备和钱包上，将剩余资产转移到一个使用全新助记词创建的钱包中。把旧钱包视为永久不安全的钱包。
3
撤销高风险授权
使用 revoke.cash 或钱包内置工具，撤销针对可疑 dApp 的代币和 NFT 授权。
4
检查设备与账号
运行安全扫描，卸载可疑浏览器扩展，并在必要时修改重要账号的密码和 2FA。
5
提醒他人并联系官方支持
如果涉及 Rodeyo 物品，请通过官方渠道联系 Rodeyo 支持。同时提醒朋友和社区成员，避免更多人遭遇同样的攻击。

安全运营（OpSec）检查清单

使用非短信 2FA
使用 Authy、Google Authenticator 等身份验证应用，或 YubiKey 等硬件。短信验证码容易被 SIM 卡劫持。
锁紧 Discord 私信
关闭“服务器成员可向你发送私信”选项，可以大幅减少假冒客服/管理员的骚扰。
只信任官方渠道
Rodeyo 官方不会先给你发私信，更不会向你索要助记词。
保持设备干净
及时更新操作系统和浏览器。避免安装来路不明的插件或软件，尤其是与加密相关的。
避免危险网络
在公共 Wi‑Fi 或共享电脑上签名交易，风险极高，如非必要尽量避免。
警惕“紧急机会”和 FOMO
骗子喜欢制造“限时机会”“稳赚不赔”的假象。如果你感到被催促或慌张，请先停下来，通过官方渠道再次核实信息。