compraste un nuevo dispositivo de hardware pero estás paranoico de que algo haya sido manipulado. Primero, lo que debe hacer es arrancar en modo de recuperación y actualizar al firmware más reciente. Esto pasará el control genuino sin tener que ingresar la semilla. Ahora, todavía estás paranoico (¡lo cual es bueno!). Si los atacantes quieren que la manipulación no sea obvia (lo que intentarán), una forma de hacerlo sería manipulando la generación de nonce de firma de manera que exponga la clave privada más adelante con firmas. Entonces, ¿qué haces? Bueno, verifica con un _dummy seed_ si el nonce generado es compatible con RFC 6979. Escribí un script de verificación de Python simple que cualquiera puede usar fácilmente: - no importa si es un Ledger, Trezor o cualquier otra billetera de hardware; No confíe en él por diseño cuando lo abra

así que estaba bastante enojado al principio cuando Safe decidió pasar a puntos finales de solo autenticación, ya que eso habría roto mi herramienta 'safe-tx-hashes-util' en su mayoría (aún puede usar el modo '--interactive' sin depender de ninguna API ofc) y las verificaciones de transmisión simples con una clave API no son similares a Cypherpunk en absoluto. Después de algunas idas y venidas con ellos, acordaron permitir 1 solicitud por segundo sin autorización (¡gracias por ser de mente abierta y receptivos a mis comentarios!). Parcheé el script para que _zero haya cambios en usage_. Simplemente extraiga la última confirmación principal (tiene alrededor de 1 mes antes de que los puntos finales originales dejen de funcionar). De esta manera, cualquiera puede seguir verificando los hashes de dominio y mensajes de cualquier Safe tx sin necesidad de una clave API en el futuro.

muy bien, después de una semana de trabajo, ahora puede simular completamente las transacciones seguras _localmente_ antes de firmar y verificar los hashes de las transacciones en paralelo usando mi 'safe-tx-hashes-util' con un solo comando (use el '--simulate flag' simplemente). Esto le permite verificar exactamente cómo se ejecutará la transacción antes de firmar. Todo es local. Todo lo que se ejecuta se imprime en el terminal. Transparencia a toda costa. Aquí confía en su proveedor de RPC, así que use un punto final de confianza o la solución preferida para ejecutar su propio nodo. Sé que muchos todavía no me creen, pero la verificación local y basada en CLI es el camino a seguir. Interfaces de usuario no hospedadas. Mi script de verificación es _un_ maldito archivo Bash. Todos pueden auditarlo mirando exactamente un archivo. Sin hinchazón de dependencias.