İnsanlara açık metin özel anahtarların kötü olduğunu söylediğim için eleştirilip azarlanıyorum. Ama işte 2026'dayız ve hâlâ bunun kabul edilebilir demesiyle mücadele ediyorum, oysa geçen yıl anahtar sızıntılar hacklerin #1 kaynağıydı. Aldığım yaygın yanıtları ve neden yanlış olduklarını açıklayayım. 👇

1. "Bu sadece görevlendirme anahtarım, yönetici anahtarım değil" Akıllı sözleşme geliştirme için en iyi uygulama, bir akıllı sözleşmenin sahipliğini dağıttığınız cüzdandan farklı bir cüzdana aktarmaktır. Bunu kontrol etmek için dağıtım betiklerini denetim kapsamına koymanızı öneririz.

Böyle geçici bir cüzdana sahip olmak iyi bir şey, ama yine de sizi açık bırakıyor: - Dağıtıcı adresleri genellikle güvenilirlik sağlamak için explorer'larda etiketlenir - Hâlâ içinde çalınabilecek paranız var - Birinin sahiplik devrini unuttuğu BİRKAÇ saldırı gördük

Warroom çağrılarında cevabım "konuşucu anahtarı admin'di ve sızdırıldı" oldu. Çoğu projenin dağıtım senaryosu denetlenmez. Yani "bu sadece konuşlandırma anahtarlarım" dediğinde, ben de "görevini denetlemedin, batıracaksın" diyorum.

Ve son olarak, .env'de dağıtım anahtarları kullanıyorsan, açık metin anahtarlarına alışkanlık haline gelmişsin. Bunu unutmayın: "Geliştirmede ne yaparsan, prod'da da yapacaksın" Ve eğer özel anahtarlarınız açık metinlerse, eminim zaten dikkatli değilsiniz.

2. ".gitignore kullanıyorum, kaynağa itmeyeceğim" Berbat bir itiraz. React, solana/web3js ve NPM'nin hepsi geçen yıl hacklendi ve bazı hackler .env dosyalarındaki hassas bilgileri arıyordu. "npm kurulum" yaptıysanız - tamamen iyi olabilirsiniz.

Bir de dosyalarınızdan geçen kötü amaçlı IDE uzantıları ve kurabileceğiniz diğer zararlı yazılımları da saymıyorum. Bu yanıtı verenler genellikle "Ben acemi değilim, dikkatli olacağım" derler ama açıkça yazılım tedarik zincirinin nasıl işlediğini anlamıyorlar.

3. "Çok zahmetli, sadece açık metin anahtarlarını kullanmak daha kullanışlı" Hayat 0 dolarınız olduğunda daha kolay, paran yokken paranı güvende tutmakla ilgilenmek zorunda değilsin. Sanırım bu iyi bir nokta.

Ama cidden, yapabileceğiniz şeyler var. Çoğu akıllı sözleşme geliştirme çerçevesinde dökümhane, mokasen ve kaska gibi şifreleme araçları bulunur. Hepsi anahtarlarınızı tek bir komutla şifrelemenize ve script çalıştırırken şifre ile şifre açmanıza olanak tanır. Çok kullanışlı.

Tek istediğim, açık metin özel anahtarları normalleştirmememiz. Benim ve SEAL'in her şeyi kaybetmiş olanlardan aldığı DM'leri alamazsınız. Acı gerçek, normalleştirme. LLM'ler bu kötü uygulamada eğitiliyor ve yine de tavsiye ediyor, biz de bırakmalıyız ki LLM'ler dursun.