المواضيع الرائجة
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
أتعرض للسخرية عندما أقول للناس إن مفاتيح النص الصريح الخاصة سيئة.
لكن ها نحن في عام 2026، وما زلت أقاوم من يقول إنه لا بأس بذلك، بينما كانت التسريبات الرئيسية المصدر #1 للاختراقات العام الماضي.
دعوني أشرح الردود الشائعة التي أتلقاها ولماذا هي خاطئة.
👇
1. "إنه مجرد مفتاح النشر الخاص بي، وليس مفتاح الإدارة"
أفضل ممارسة لتطوير العقود الذكية هي نقل ملكية العقد الذكي إلى محفظة مختلفة عن تلك التي تم نشرها بها.
نوصي بوضع سكريبتات النشر ضمن نطاق التدقيق للتحقق من ذلك.
وجود محفظة مؤقتة كهذه أمر جيد، لكنه يظل يتركك مفتوحا:
- غالبا ما يتم تصنيف عناوين الموزعين على المستكشفين لإعطاء المصداقية
- لا يزال لديك مال فيها قد يسرق
- لقد رأينا العديد من الهجمات حيث نسي شخص ما نقل الملكية
لقد شاركت في مكالمات Warroom حيث كان الجواب "مفتاح النشر كان المسؤول، وقد تم تسريبه". معظم المشاريع لا يتم تدقيق نصوص النشر الخاصة بها.
لذا عندما تقول "هذه مجرد مفاتيح النشر الخاصة بي" أقول "لم تقم بتدقيق نشرك، ستخربها"
وأخيرا، إذا كنت تستخدم مفاتيح النشر في ملف .env، فأنت تعتاد على التعامل مع مفاتيح النص العادي.
تذكر هذا:
"ما تمارسه في التطوير، ستفعله في الإنتاج"
وإذا كان لديك مفاتيح خاصة بنص واضح، أراهن أنك لست حذرا على أي حال.
2. "أستخدم .gitignore، لن أدفعه إلى المصدر"
رد سيء جدا.
تم اختراق React وsolana/web3js وnpm العام الماضي، وبعض الاختراقات بحثت في ملفاتك بحثا عن معلومات حساسة في ملفات .env.
لو شغلت "npm install" - ربما كنت في ورطة.
ناهيك عن امتدادات بيئة التطوير الخبيثة وغيرها من البرمجيات الخبيثة التي يمكنك تثبيتها والتي تمر أيضا عبر ملفاتك.
الأشخاص الذين يردون بهذا الرد عادة يقولون "أنا لست مبتدئا، سأكون حذرا" لكن من الواضح أنهم لا يفهمون كيف تعمل سلسلة توريد البرمجيات.
3. "الأمر مزعج جدا، فقط من الأفضل استخدام مفاتيح النص الأصلي"
حسنا، الحياة أكثر ملاءمة عندما يكون لديك 0 دولار، ولا تحتاج للقلق بشأن الحفاظ على أموالك آمنة عندما لا تملك مالا. لذا أعتقد أن هذه نقطة جيدة.
لكن بجدية، هناك أشياء يمكنك فعلها. معظم أطر تطوير العقود الذكية تحتوي على أدوات تشفير مثل Foundry وMoccasin وخوذة القفز.
جميعها تتيح لك تشفير مفاتيحك في أمر واحد، وفك التشفير باستخدام كلمة مرور أثناء تشغيل السكريبت.
إنه مريح جدا.
كل ما أطلبه هو ألا نجعل المفاتيح الخاصة بالنص الواضح هي الطابع الطبيعي. لا تحصل على رسائل خاصة كما أحصل علي أنا وقوات SEAL من أولئك الذين فقدوا كل شيء.
الألم حقيقي، لا تعيده إلى طبيعته.
النماذج الكبيرة مدربة على هذه الممارسة السيئة وما زالت توصي بها، يجب أن نتوقف حتى تتوقف.
460
الأفضل
المُتصدِّرة
التطبيقات المفضلة