Jsem si dělám legraci za to, že lidem říkám, že soukromé klíče v otevřeném textu jsou špatné. Ale tady jsme v roce 2026 a stále bojuji s lidmi, kteří tvrdí, že je to v pořádku, zatímco klíčové úniky byly loni #1 zdrojem hacků. Dovolte mi vysvětlit běžné námitky, které slyším, a proč jsou špatné. 👇

1. "Je to jen můj klíč nasazení, ne administrátorský klíč" Nejlepší praxí pro vývoj chytrých kontraktů je převést vlastnictví chytré smlouvy do jiné peněženky, než kterou jste nasadili. Doporučujeme dát skripty nasazení do rozsahu auditu, abychom to ověřili.

Mít takto jednorázovou peněženku je dobrá věc, ale stále vás to nechává otevřeného: - adresy nasazovačů jsou často označeny na průzkumníku pro zvýšení důvěryhodnosti - Pořád v nich máš peníze, které by mohly být ukradeny - viděli jsme MNOHO útoků, kdy někdo zapomněl převést vlastnictví

Byl jsem na hovorech ve Warroomu, kde odpověď byla "klíč k deployeru byl adminovi a byl uniklý". Většina projektů nemá své skripty pro nasazení auditována. Takže když řeknete "jsou to jen moje klíče k nasazení", já říkám "neauditovali jste nasazení, zkazíte to".

A nakonec, pokud používáte nasazení klíčů v .env, zvykáte si být v pohodě s otevřenými textovými klíči. Pamatujte si toto: "Co trénuješ ve vývoji, uděláš i v produkci." A pokud máte soukromé klíče v otevřeném textu, vsadím se, že stejně nejste opatrní.

2. "Používám .gitignore, nebudu to tlačit do zdroje" Hrozná odpověď. React, Solana/Web3js a npm byly minulý rok hacknuty a některé hacky prohledávaly vaše soubory kvůli citlivým informacím v .env souborech. Pokud jste spustil "npm install" – mohl jste být v háji.

Nemluvě o škodlivých IDE rozšířeních a dalším malwaru, který byste mohli nainstalovat a který také prochází vaše soubory. Lidé s tímto námitkou obvykle také říkají "Nejsem nováček, budu opatrný", ale je jasné, že nechápou, jak funguje dodavatelský řetězec softwaru.

3. "Je to příliš komplikované, je prostě pohodlnější používat otevřené textové klíče" No, život je pohodlnější, když nemáte žádné peníze, nemusíte se starat o bezpečí svých peněz, když je nemáte. Takže asi je to dobrý postřeh.

Ale vážně, existují věci, které můžete dělat. Většina frameworků pro vývoj chytrých kontraktů má šifrovací nástroje, jako jsou foundry, moccasin a hardhelm. Všechny umožňují zašifrovat klíče jedním příkazem a dešifrovat je heslem při spuštění skriptu. Je to velmi pohodlné.

Jediné, co žádám, je, abychom nenormalizovali soukromé klíče v otevřeném textu. Nedostanete ty soukromé zprávy, které já a SEAL dostáváme od těch, kteří o všechno přišli. Bolest je skutečná, nezvykej to. LLM jsou na tuto špatnou praxi školeni a přesto ji doporučují, musíme s tím přestat, aby LLM přestali.