Hello Hivers, cryptonauts, explorers of the cryptoverse, navigators of Web2 and Web3, and evangelists of a hopeful future where money is created cryptographically. And not just money, but understanding that time is what truly holds value—and that, my friends, is priceless.
I know this is a well-worn topic, but it's both fair and necessary to create a guide on managing keys in HIVE, and even share valuable information for content creators and developers. This is almost a duty!
A Rather Sad Story That Reveals Something
A few months ago, I was in Spain, spending time with family and friends. An old friend named @enfocate was encouraged to publish on HIVE again, and I motivated him to invest in the HBD (Hive Dollar) system, which generates a beautiful 15% annual interest. My friend didn't hesitate after I showed him the data and records. But I had overlooked a small detail:
- This user had created his account through Steemit.
- His private keys originated from there and had never been changed.
- Somehow, his keys were already compromised, something I tried to investigate but only found the user who, by the way, also stole from many other users.
To make a long story short, since he didn't change his keys in HIVE, the attacker accessed his account using those keys and withdrew all the HBD my friend had.
🛡️ Comprehensive Guide to Secure Private Key Management on the Hive Blockchain
Source: Pexels
✨ Introduction
In the Hive Blockchain ecosystem, security is the user's responsibility. Your private keys are the master keys to your account. This guide is designed to help you understand and manage your keys securely, whether you're a content creator or a developer.
📝 Section for Bloggers and Content Creators
🔑 Understanding Hive Keys
Hive uses a hierarchical key system, each with specific functions:
- Owner Key: Master key. Should only be used to recover account control.
- Active Key: For transfers, configuration changes, and contract signing.
- Posting Key: For social actions like posting, commenting, or voting.
- Memo Key: For encrypting and decrypting messages in transfers.
🧪 Practical Exercise: Visit
wallet.hive.blog / https://wallet.hive.blog/@your_username/permissionsor peakd.com and observe the description of each key.
Use this amazing tool to handle your HIVE keys: https://keys.thecrazygm.com/
🛡️ General Best Practices
Secure Storage: Store your keys offline and encrypted if possible. Write your keys on paper and keep them in a secure place (like a safe).
Use Hive Keychain: Utilize Hive Keychain to interact with dApps without exposing your keys.
🧪 Exercise: Install the Hive Keychain extension and configure only your Posting Key for social actions.
⚠️ Important Warnings
Do Not Share Your Private Keys: Never share your private keys with anyone. If someone obtains them, they can take full control of your account.
Do Not Authorize Unknown Applications: Avoid granting permissions to applications or users you don't know. You can review and revoke permissions on PeakD.
🧪 Exercise: Review the authorized applications on your account and revoke those you don't recognize.
💻 Section for Developers
I consider it vital that every dApp developer on Hive has a solid foundational knowledge. This can prevent many issues, such as, even with good intentions, creating a tutorial that asks users to expose a private key in code—something that should never be allowed. That's why I take the time to develop this section.
🧪 Create a Test Account
Don't use your main account for development. You can:
- Use signup.hive.io to create a free account.
- Or use Hive Keychain to create new accounts from an existing account.
🔐 Secure Key Management in Development
Mandatory HTTPS: Hive Keychain and other libraries only allow secure connections (HTTPS). This protects your keys from being intercepted.
Do Not Share Your Private Keys: Never share your private keys with anyone. If someone obtains them, they can take full control of your account.
Do Not Run Code from Untrusted Sources: Avoid executing repositories from dubious sources. Some may contain malware that compromises your keys.
Do Not Use Your Main Keys for Testing: Use test accounts to develop and test your applications.
Do Not Upload Sensitive Files to Public Repositories: Ensure you include
.envfiles and their derivatives in the.gitignorefile to avoid uploading them to GitHub or other repositories.
📄 Example .gitignore:
.env
.env.local
.env.*.local
🧪 Exercise: Configure your
.gitignorefile to exclude sensitive files and create a test account for your developments.
🚫 Best Practices on Discord and Crypto
No One Will Ask for Your Private Keys: If someone does, it's a red flag.
Do Not Click on Suspicious Links: Avoid links from unknown users or with "unmissable offers."
🔍 Investigate Users
- Go to hiveblocks.com
- Review the account's activity and creation date.
- Observe if there is a history of suspicious transactions.
🧪 Exercise: Investigate a suspicious account on HiveBlocks and share your findings on the official Discord channels if you have doubts.
📚 References
- Hive Developers Portal
- PeakD: Guide for New Users
- Hive Keychain Tutorial
- Importance of Your Hive Keys
Do You Think I Missed Something? Write to Me in the Comments.
🐝 Official Hive Resources
| 🗂️ Category | 📌 Name / Project | 🔗 Link |
|---|---|---|
| 🗨️ Official Discord | Hive | discord.gg/cgZbmhBbw7 |
| 🛠️ Technical Discord | Hive Engine | discord.gg/t3Cg3w4nr4 |
| 📰 Community Discord | PeakD | discord.gg/6FEgSx56rF |
| 💰 Financial Discord | Hive SBI | discord.gg/Ypw9aqJk5A |
| 📊 Data Discord | HiveSQL | discord.gg/jKE5crrPsm |
| 📘 Documentation | Hive Developers Portal | developers.hive.io |
🧑💻 Personal Projects
| 🚀 Status | 📌 Name / Project | 🔗 Link |
|---|---|---|
| ✅ Current Project | LP Index | testhivelpindex.duckdns.org |
| 📚 Tutorials | Hive React Tutorials | github.com/theghost1980/react-hive-tutorials |
| 🧭 Onboarding | HSBI Onboarder | hivesbi-onboarding.netlify.app |
| 🛠️ In Development | AegisPad (GitHub) | github.com/theghost1980/aegispad-nextjs-ai |
ESPAñOL AQUI
Saludos Hivers, criptonautas, exploradores del criptoverso, navegantes de la web2 y la web3 y evangelistas de un futuro lleno de esperanza para crear el dinero de manera criptografica. Y no solo dinero sino entender que el tiempo es lo que vale y eso mi amigos, no tiene precio.
Se que es un tema mas que trillado pero es justo y necesario hacer una guia sobre el manejo de las claves en HIVE e inclusive compartir informacion valiosa para los que publican contenido y para los que programan. Esto es casi un deber!
Una historia un tanto triste pero que muestra algo
Hace unos meses estaba en España, pasando tiempo con familia y amigos. Un viejo amigo llamado @enfocate se animo de nuevo a publicar en HIVE y lo anime a invertir en el sistema de HBD(hive dollar) que genera un hermoso 15% anual de interes. Mi amigo no lo dudo luego de que yo le mostre los datos y registros. Pero un pequeño detalle se me habia pasado por alto:
- este usuario habia creado su cuenta desde Steemit.
- sus claves privadas venian desde alla y nunca habian sido cambiadas.
- de alguna manera sus claves ya estaban comprometidas, cosa que trate de investigar pero nunca di sino con el usuario que por cierto tambien robo a muchos usuarios mas
Para hacer el cuento corto, ya que no cambio sus claves en HIVE, el atacante entro usando sus claves y retiro todo el HBD que mi amigo tenia.
🛡️ Guía Completa para el Manejo Seguro de Claves Privadas en Hive Blockchain
Fuente: Pexels
✨ Introducción
En el ecosistema de Hive Blockchain, la seguridad es responsabilidad del usuario. Tus claves privadas son las llaves maestras de tu cuenta. Esta guía está diseñada para ayudarte a comprender y manejar tus claves de forma segura, tanto si eres un creador de contenido como un desarrollador.
📝 Sección para Bloggers y Creadores de Contenido
🔑 Comprendiendo las Claves de Hive
Hive utiliza un sistema jerárquico de claves, cada una con funciones específicas:
- Owner Key: Clave maestra. Solo debe usarse para recuperar el control de la cuenta.
- Active Key: Para transferencias, cambios en configuración y firma de contratos.
- Posting Key: Para acciones sociales como publicar, comentar o votar.
- Memo Key: Para encriptar y desencriptar mensajes en transferencias.
🧪 Ejercicio Práctico: Ingresa a
wallet.hive.blog / https://wallet.hive.blog/@tu_usuario/permissionso peakd.com y observa la descripción de cada clave.
🛡️ Mejores Prácticas Generales
Almacenamiento Seguro: Guarda tus claves en un lugar offline y encriptado si es posible. Escribe tus claves en papel y almacénalas en un lugar seguro (caja fuerte).
Uso de Hive Keychain: Utiliza Hive Keychain para interactuar con dApps sin exponer tus claves.
🧪 Ejercicio: Instala la extensión de Hive Keychain y configura solo tu clave Posting para acciones sociales.
⚠️ Advertencias Importantes
No compartas tus claves privadas: Nunca compartas tus claves privadas con nadie. Si alguien las obtiene, puede tomar el control total de tu cuenta.
No autorices aplicaciones desconocidas: Evita otorgar permisos a aplicaciones o usuarios que no conoces. Puedes revisar y revocar permisos en PeakD.
🧪 Ejercicio: Revisa las aplicaciones autorizadas en tu cuenta y revoca las que no reconozcas.
💻 Sección para Desarrolladores
Considero vital que todo desarrollador de dapps en hive tenga el conocimiento base de manera solida. Esto puede evitar muchas fallas como por ejemplo, aunque hecho con una buena intencion, el simple hecho de hacer un tutorial donde se le pida al usuario exponer una clave privada en codigo. Cosa que no debe permitirse. Por eso me tomo el tiempo para desarrollar esta seccion.
🧪 Crea una Cuenta de Pruebas
No uses tu cuenta principal para desarrollar. Puedes:
- Usar signup.hive.io para crear una cuenta gratuita.
- O usar Hive Keychain para crear nuevas cuentas desde una cuenta ya existente.
Usa esta asombrosa herramienta para manipular y cambiar tus claves de HIVE: https://keys.thecrazygm.com/
🔐 Manejo Seguro de Claves en Desarrollo
HTTPS Obligatorio: Hive Keychain y otras librerías solo permiten conexiones seguras (https). Esto protege tus claves de ser interceptadas.
No compartas tus claves privadas: Nunca compartas tus claves privadas con nadie. Si alguien las obtiene, puede tomar el control total de tu cuenta.
No ejecutes código de procedencia dudosa: Evita ejecutar repositorios de dudosa procedencia. Algunos pueden contener malware que comprometa tus claves.
No uses tus claves principales para pruebas: Utiliza cuentas de prueba para desarrollar y testear tus aplicaciones.
No subas archivos sensibles a repositorios públicos: Asegúrate de incluir los archivos
.envy sus derivados en el archivo.gitignorepara evitar subirlos a GitHub u otros repositorios.
📄 Ejemplo de .gitignore:
.env
.env.local
.env.*.local
🧪 Ejercicio: Configura tu archivo
.gitignorepara excluir archivos sensibles y crea una cuenta de prueba para tus desarrollos.
Estafa actual usada en sitios de trabajo para web3
Hoy dia estan llevando a cabo una estafa cuya unica finalidad es:
robar tus claves privadas
No solo hablo de las claves de HIVE sino de todo lo referente a criptomonedas. Estas organizaciones de ladrones profesionales buscan especificamente a desarrolladores web3 o a profesionales que se supone tienen billeteras como metamask o algun tipo de fondos en criptomonedas.
- Ellos suponen que el usuario, de manera desprevenida, en su PC donde desarrolla codigo, tiene acceso a dichas claves.
- Suponen que un desarrollador con poca experiencia o incluso con mucha experiencia pero con exceso de confianza o exceso de codicia, caera facilmente en la estafa
Proceso de la estafa detallado y basado en hechos reales
Yo la bautizo como "Estafa de trabajo web3". Los estafadores publican en una cuenta falsa pero muy bien creada una oferta como:
"Se busca desarrollador frontend o fullstack con experiencia en web3 y blockchain"
Si el proceso de simplemente tener esa oferta activa para "pescar" una victima no funciona, entonces ellos profundizan y usando otra cuenta falta de un "supuesto CEO o fundador de dicha compañia falta" te contactara a tu perfil Linkedin o a tu mail de trabajo
Anatomia de la estafa
La oferta de empleo es casi tan buena como irresistible. "Pagos semanales de mas de $2000, horario de trabajo de Lunes a Viernes, vacaciones incluidas, posibilidad de ser mas dinero segun la experiencia y desempeño, etc etc etc".
El CEO o fundador te contacta directamente usando mensajes premium o normales en linkedin para "lanzar el azuelo".
Una vez que captan tu atencion, te explican que si estas interesado la primera fase de prueba es hacerte instalar y modificar un repositorio ya que parte del trabajo sera modificar y mejorar la UI/UX o actualizar el codigo de una aplicacion ya existente. Ellos normalmente utilizan el centro de repositorios bitbucket
La victima cree en el proceso ya que parece inofensivo. Que podria suceder al simplemente instalar y correr un repositorio con miles de paquetes que no conoces cierto? Tu como desarrollador comprometido lo instalas y empiezas a jugar con la simple tarea de "debes agregar otra billetera o hacer que funcione lo que ya esta codificado".
De fondo al correr dicha aplicacion, se esta ejecutando un script que secuestra el portapapeles, asi que todo lo que copias y pegas, se transmite a un servidor que ellos tienen. Esto puede permitirles obtener informacion valiosa de: puertos en uso, direcciones IP y posibles claves de alguna billetera como metamask.
El usuario como todo emprendedor, hara esa primera prueba muy facilmente y le comunicara el "estafador//empleador" que ya cubrio los requerimientos y que desea pasar a la fase 2.
La entrevista se fija y tienen personas que normalmente hablan ingles o a veces lo intentan. En esta entrevista de video llamada, el personaje "supuesto entrevistador con conocimientos avanzados" tratara de no mostrar su rostro. Incluso pueden pedirte que solo tu actives tu camara y compartas tu pantalla.
Te pediran que corras la app y hagas la prueba, haciendo enfasis en "por favor desbloquea y bloquea metamask" o la billetera cripto que usas. Ellos hacen mucho enfasis en esto ya que:
- al estar compartiendo la conexion de sockets, pueden ver que eres tu quien esta alli, desbloqueando la data y usando el portapapeles para copiar/pegar tu clave maestra de metamask.
La entrevista termina y listo, tu como programador estas feliz porque al parecer "ellos te van a llamar ya que has sido un programador excelente que ha terminado la prueba en menos tiempo que el promedio de usuarios"
A las horas o al dia siguiente, ellos han utilizado toda tu informacion de la billetera, todo lo que han analizado de las entrevistas, las pruebas de codigo y demas, para obtener como restaurar tu frase de metamask y PLOF, te han sacado los fondos de tu billetera.
Y como puedo contarlo con tanto detalle? porque esto me sucedio no hace mas de 2 años y aun hoy dia me siguen llegando estas ofertas a mi perfil de linkedin y lo peor es que Linkedin no hace nada para mitigar esto, solo les importa el dinero de sus usuarios.
Por eso les pido que no intenten ser el "mas astuto" tratando de descubrir a estos estafadores. Sino mas bien, ejecuta las mejores practicas y cuando sientas algo extrano o fuera de lugar o que algo parece demasiado bueno como para ser verdad, entonces duda,, investiga y sal de alli!
Por si quieres saber cuanto me robaron: alrededor de $300 en criptomonedas. Es por eso que siempre recomiendo que tengas tus fondos a largo plazo en una cold wallet cuyo accesso al internet sea muy limitado
🚫 Buenas Prácticas en Discord y Cripto
Nadie te pedirá tus claves privadas: Si alguien lo hace, es una señal de alerta.
No hagas clic en enlaces sospechosos: Evita enlaces de usuarios desconocidos o con "ofertas imperdibles".
🔍 Investigar Usuarios
- Ve a hiveblocks.com
- Revisa la actividad de la cuenta y su fecha de creación.
- Observa si tiene historial de transacciones sospechosas.
🧪 Ejercicio: Investiga una cuenta sospechosa en HiveBlocks y comparte tus hallazgos en los canales oficiales de Discord si tienes dudas.
📚 Referencias
- Hive Developers Portal
- PeakD: Guía para nuevos usuarios
- Hive Keychain Tutorial
- Importancia de tus claves en Hive
¿Crees que me falto cubrir algo? Escribeme a los comentarios.
🐝 Recursos Oficiales de Hive
| 🗂️ Categoría | 📌 Nombre / Proyecto | 🔗 Enlace |
|---|---|---|
| 🗨️ Discord Oficial | Hive | discord.gg/cgZbmhBbw7 |
| 🛠️ Discord Técnico | Hive Engine | discord.gg/t3Cg3w4nr4 |
| 📰 Discord Comunidad | PeakD | discord.gg/6FEgSx56rF |
| 💰 Discord Financiero | Hive SBI | discord.gg/Ypw9aqJk5A |
| 📊 Discord de Datos | HiveSQL | discord.gg/jKE5crrPsm |
| 📘 Documentación | Hive Developers Portal | developers.hive.io |
🧑💻 Proyectos Personales
| 🚀 Estado | 📌 Nombre / Proyecto | 🔗 Enlace |
|---|---|---|
| ✅ Proyecto Actual | LP Index | testhivelpindex.duckdns.org |
| 📚 Tutoriales | Hive React Tutorials | github.com/theghost1980/react-hive-tutorials |
| 🧭 Onboarding | HSBI Onboarder | hivesbi-onboarding.netlify.app |
| 🛠️ En Desarrollo | AegisPad (GitHub) | github.com/theghost1980/aegispad-nextjs-ai |
Thank you, this will be a perfect resource to hand out to people I try to onboard.
This is a really good resource, you are a valuable community member!
!PAKX
!PIMP
!PIZZA
View or trade
PAKXtokens.Use !PAKX command if you hold enough balance to call for a @pakx vote on worthy posts! More details available on PAKX Blog.
$PIZZA slices delivered:
@ecoinstant(2/20) tipped @theghost1980
Come get MOONed!