Me ridiculizan por decirle a la gente que las claves privadas en texto plano son malas. Pero aquí estamos en 2026, y sigo luchando contra personas que dicen que está bien hacerlo, mientras que las filtraciones de claves fueron la fuente número 1 de hacks el año pasado. Déjame explicar los argumentos comunes que recibo y por qué están equivocados. 👇

1. "Solo es mi clave de despliegue, no mi clave de administrador" Una buena práctica para el desarrollo de contratos inteligentes es transferir la propiedad de un contrato inteligente a una billetera diferente de la que utilizaste para desplegarlo. Recomendamos incluir los scripts de despliegue en el alcance de una auditoría para verificar esto.

Tener una billetera desechable como esta es algo bueno, pero aún te deja expuesto: - las direcciones de los desplegadores a menudo están etiquetadas en los exploradores para dar credibilidad - todavía tienes dinero en ellas que podría ser robado - hemos visto MUCHOS ataques donde alguien olvidó transferir la propiedad

He estado en llamadas de warroom donde la respuesta fue "la clave del desplegador era el administrador, y se filtró". La mayoría de los proyectos no auditan sus scripts de despliegue. Así que cuando dices "solo son mis claves de despliegue" yo digo "no auditaste tu despliegue, lo vas a arruinar"

Y finalmente, si estás usando claves de despliegue en un .env, te estás acostumbrando a estar cómodo con claves en texto plano. Recuerda esto: "Lo que practicas en desarrollo, lo harás en producción" Y si tienes claves privadas en texto plano, apuesto a que no eres cuidadoso de todos modos.

2. "Uso un .gitignore, no lo subiré al repositorio" Terrible refutación. React, solana/web3js y npm fueron hackeados el año pasado, y algunos de los hacks revisaron tus archivos en busca de información sensible en archivos .env. Si ejecutaste "npm install" - podrías haber estado en problemas.

Sin mencionar las extensiones de IDE maliciosas y otro malware que podrías instalar que también revisa tus archivos. Las personas con esta refutación también suelen decir "No soy un novato, tendré cuidado", pero claramente no entienden cómo funciona la cadena de suministro de software.

3. "Es demasiado engorroso, es simplemente más conveniente usar claves en texto plano" Bueno, la vida es más conveniente cuando tienes $0, no tienes que preocuparte por mantener tu dinero seguro cuando no tienes dinero. Así que supongo que este es un buen punto.

Pero en serio, hay cosas que puedes hacer. La mayoría de los frameworks de desarrollo de contratos inteligentes tienen herramientas de cifrado, como foundry, moccasin y hardhat. Todos ellos te permiten cifrar tus claves con un solo comando y descifrarlas con una contraseña al ejecutar el script. Es muy conveniente.

Todo lo que pido es que no normalicemos las claves privadas en texto plano. No recibes los mensajes directos que yo y SEAL recibimos de aquellos que lo han perdido todo. El dolor es real, no lo normalices. Los LLMs están entrenados en esta mala práctica y aún la recomiendan, debemos detenernos para que los LLMs dejen de hacerlo.