Saan meemejä siitä, että sanon ihmisille, että selväkieliset yksityiset avaimet ovat huonoja. Mutta tässä ollaan vuonna 2026, ja taistelen yhä sitä vastaan, että se on ok, kun taas avainvuodot olivat viime vuonna #1 hakkeroinnin lähde. Selitän yleisimmät vastaväitteet, joita saan, ja miksi ne ovat vääriä. 👇

1. "Se on vain käyttöönottoavain, ei ylläpitoavain" Paras käytäntö älysopimusten kehityksessä on siirtää älysopimuksen omistajuus toiseen lompakkoon kuin se, jolla otit käyttöön. Suosittelemme asettamaan käyttöönottoskriptit auditoinnin piiriin tämän tarkistamiseksi.

Tällainen kertakäyttölompakko on hyvä asia, mutta se jättää sinut silti avoimeksi: - Deployer-osoitteet merkitään usein tutkijoihin uskottavuuden lisäämiseksi - Niissä on vielä rahaa, joka voisi olla varastettu - olemme nähneet MONIA hyökkäyksiä, joissa joku unohti siirtää omistajuuden

Olen ollut Warroom-puheluissa, joissa vastaus oli "deployer-avain oli ylläpitäjä, ja se vuoti". Useimpien projektien käyttöönottoskriptejä ei tarkasteta. Joten kun sanot "ne ovat vain minun käyttöönottoavaimeni", minä sanon "et tarkastanut sijoitustasi, mokaat sen"

Ja lopuksi, jos käytät käyttöönottoavaimia .env-tiedostossa, olet tottunut olemaan mukava selväkielisten avainten kanssa. Muista tämä: "Mitä harjoittelet kehityksessä, teet myös tuotannossa" Ja jos sinulla on selväkielisiä yksityisiä avaimia, veikkaan, ettet ole varovainen kuitenkaan.

2. "Käytän .gitignore-tiedostoa, en työnnä sitä lähteeseen" Kauhea vastaus. React, Solana/web3js ja npm hakkeroitiin viime vuonna, ja jotkut hakkeroinnit kävivät tiedostoistasi läpi arkaluontoisia tietoja .env-tiedostoissa. Jos olisit käyttänyt "npm install" -toimintoa – olisit voinut olla täysin pulassa.

Puhumattakaan haitallisista IDE-laajennuksista ja muista haittaohjelmista, joita voit asentaa ja jotka myös käyvät tiedostojesi läpi. Ne, joilla on tämä vastaväite, sanovat yleensä myös "En ole aloittelija, olen varovainen", mutta selvästi he eivät ymmärrä, miten ohjelmistojen toimitusketju toimii.

3. "Se on liian vaivalloista, on vain kätevämpää käyttää selväkielisiä näppäimiä" No, elämä on kätevämpää, kun sinulla on 0 dollaria, sinun ei tarvitse huolehtia rahojen pitämisestä turvassa, kun sinulla ei ole rahaa. Joten kai tämä on hyvä pointti.

Mutta vakavasti, on asioita, joita voit tehdä. Useimmissa älysopimuskehyksissä on salaustyökaluja, kuten foundry, moccasin ja hardhat. Kaikki mahdollistavat avainten salaamisen yhdellä komennolla ja purkamisen salasanalla skriptin aikana. Se on todella kätevää.

Kaikki mitä pyydän, on että emme normalisoi selväkielisiä yksityisiä avaimia. Et saa niitä yksityisviestejä, joita minä ja SEAL saamme niiltä, jotka ovat menettäneet kaiken. Kipu on todellista, älä normalisoi sitä. LLM:t on koulutettu tähän huonoon käytäntöön ja suosittelevat sitä edelleen, meidän täytyy lopettaa, jotta LLM:t lopettavat.