Jag blir memes för att jag säger till folk att privatnycklar i klartext är dåliga. Men här är vi 2026, och jag kämpar fortfarande mot folk som säger att det är okej, medan nyckelläckor var den #1 källan till hack förra året. Låt mig förklara de vanliga invändningarna jag får och varför de är fel. 👇

1. "Det är bara min distributionsnyckel, inte min adminnyckel" En bästa praxis för utveckling av smarta kontrakt är att överföra ägandet av ett smart kontrakt till en annan plånbok än den du implementerade med. Vi rekommenderar att du lägger distributionsskript inom granskningens omfattning för att kontrollera detta.

Att ha en engångsplånbok som denna är bra, men det lämnar dig ändå sårbar: - Utsättaradresser är ofta märkta på utforskare för att ge trovärdighet - Du har fortfarande pengar i dem som kan bli stulna - vi har sett MÅNGA attacker där någon glömt att överföra ägarskap

Jag har varit med i warroom-samtal där svaret var "deployer-nyckeln var administratören, och den läckte". De flesta projekt får inte sina distributionsskript granskade. Så när du säger "det är bara mina distributionsnycklar" säger jag "du granskade inte din distribution, du kommer att förstöra det"

Och slutligen, om du använder distributionsnycklar i en .env, börjar du vänja dig vid att vara cool med klartextnycklar. Kom ihåg detta: "Det du övar på i dev, kommer du att göra i prod" Och om du har privatnycklar i klartext är du nog inte försiktig ändå.

2. "Jag använder .gitignore, jag kommer inte att pusha det till källkoden" Fruktansvärt motargument. React, solana/web3js och npm blev alla hackade förra året, och några av hacken gick igenom dina filer efter känslig information i .env-filerna. Om du körde "npm install" – kan du ha blivit körd.

För att inte tala om de skadliga IDE-tilläggen och annan skadlig kod som du kan installera som också går igenom dina filer. De som svarar med detta svar brukar också säga "Jag är ingen nybörjare, jag ska vara försiktig" men uppenbarligen förstår de inte hur mjukvarukedjan fungerar.

3. "Det är för mycket besvär, det är bara smidigare att använda klartexttangenter" Livet är mer bekvämt när du har 0 dollar, du behöver inte oroa dig för att hålla dina pengar säkra när du inte har några pengar. Så jag antar att det här är en bra poäng.

Men allvarligt talat, det finns saker du kan göra. De flesta smarta kontraktsutvecklingsramverk har krypteringsverktyg, som foundry, moccasin och hardhat. De låter dig alla kryptera dina nycklar med ett enda kommando och dekryptera med ett lösenord när skriptet körs. Det är väldigt bekvämt.

Allt jag ber om är att vi inte normaliserar klartext-privata nycklar. Du får inte de DMs som jag och SEAL får från dem som har förlorat allt. Smärtan är verklig, normalisera den inte. LLM:er är utbildade i denna dåliga praxis och rekommenderar det fortfarande, vi måste sluta så LLM:er slutar.