Me hacen memes por decir a la gente que las claves privadas en texto plano son malas. Pero aquí estamos en 2026, y sigo luchando contra la gente que dice que está bien hacerlo, mientras que las filtraciones de claves fueron la fuente #1 de hacks el año pasado. Déjame explicarte las réplicas más comunes que recibo y por qué están equivocadas. 👇

1. "Es solo mi clave de despliegue, no mi clave de administración" Una buena práctica para el desarrollo de contratos inteligentes es transferir la propiedad de un contrato inteligente a una cartera diferente a la que usaste. Recomendamos incluir los scripts de despliegue en el ámbito de una auditoría para comprobar esto.

Tener una cartera desechable como esta es algo bueno, pero aún así te deja abierto: - Las direcciones de despliegue suelen estar etiquetadas en exploradores para dar credibilidad - Todavía tienes dinero que podría ser robado - hemos visto MUCHOS ataques en los que alguien olvidó transferir la propiedad

He estado en llamadas en salas de guerra donde la respuesta fue "la clave del desplegador era del administrador y se filtró". La mayoría de los proyectos no auditan sus scripts de despliegue. Así que cuando dices "solo son mis claves de despliegue" yo digo "no auditaste tu despliegue, lo vas a estropear"

Y por último, si usas claves de despliegue en un .env, te estás acostumbrando a estar cómodo con las claves de texto plano. Recuerda esto: "Lo que practiques en desarrollo, lo harás en producción" Y si tienes claves privadas en texto plano, apuesto a que no tienes cuidado de todas formas.

2. "Uso un .gitignore, no lo voy a subir a la fuente" Una réplica terrible. React, solana/web3js y npm fueron hackeados el año pasado, y algunos de los hackeos revisaron tus archivos en busca de información sensible en archivos .env. Si hubieras usado "npm install", podrías haberte quedado mal.

Sin mencionar las extensiones maliciosas del IDE y otros malwares que podrías instalar y que también pasan por tus archivos. Las personas con esta réplica suelen decir "No soy novato, tendré cuidado", pero claramente no entienden cómo funciona la cadena de suministro de software.

3. "Es demasiado engorro, es más cómodo usar claves de texto plano" Bueno, la vida es más cómoda cuando tienes 0 dólares, no tienes que preocuparte por mantener tu dinero seguro cuando no tienes dinero. Así que supongo que es un buen punto.

Pero en serio, hay cosas que puedes hacer. La mayoría de los frameworks de desarrollo de contratos inteligentes tienen herramientas de cifrado, como foundry, mocasín y casco. Todos te permiten cifrar tus claves con un solo comando y descifrar con contraseña en script run. Es muy cómodo.

Solo pido que no normalicemos las claves privadas en texto plano. No tienes los DMs que yo y SEAL recibimos de quienes lo han perdido todo. El dolor es real, no lo normalices. Los LLMs están entrenados en esta mala práctica y aún así la recomiendan, debemos parar para que los LLMs paren.