hai comprato un nuovo dispositivo hardware ma sei paranoico che qualcosa sia stato manomesso. Prima di tutto, quello che devi fare è avviare in modalità di recupero e aggiornare al firmware più recente. Questo supererà il controllo di autenticità senza dover inserire il seed. Ora, sei ancora paranoico (il che è buono!). Se gli attaccanti vogliono rendere la manomissione non ovvia (cosa che ovviamente cercheranno di fare), un modo per farlo sarebbe manomettere la generazione del nonce di firma in modo da esporre la chiave privata in seguito con le firme. Quindi, cosa fai? Bene, verifichi con un _dummy seed_ se il nonce generato è conforme all'RFC 6979. Ho scritto un semplice script di verifica in Python che chiunque può facilmente usare: - non importa se è un Ledger, un Trezor o qualsiasi altro hardware wallet; non fidarti di esso per design quando lo apri.

quindi all'inizio ero piuttosto arrabbiato quando Safe ha deciso di passare a endpoint solo con autenticazione, poiché questo avrebbe rotto principalmente il mio strumento `safe-tx-hashes-util` (puoi comunque utilizzare la modalità `--interactive` senza fare affidamento su alcuna API, ovviamente) e limitare le semplici verifiche delle transazioni con una chiave API non è affatto in stile Cypherpunk. Dopo un po' di discussioni con loro, hanno accettato di consentire 1 richiesta al secondo senza autenticazione (grazie per essere stati aperti e ricettivi al mio feedback!). Ho aggiornato lo script in modo che non ci sia _nessuna modifica nell'uso_. Basta estrarre l'ultimo commit principale (hai circa 1 mese di tempo prima che gli endpoint originali smettano di funzionare). In questo modo, chiunque può continuare a verificare i domini e gli hash dei messaggi di qualsiasi transazione Safe senza mai aver bisogno di una chiave API in futuro.

va bene, dopo una settimana di lavoro ora puoi simulare completamente le transazioni Safe _localmente_ prima di firmare e verificare gli hash delle transazioni in parallelo utilizzando il mio `safe-tx-hashes-util` con un solo comando (usa semplicemente il flag `--simulate`). Questo ti consente di controllare esattamente come verrà eseguita la transazione prima di firmare. Tutto è locale. Tutto ciò che viene eseguito è stampato nel terminale. Trasparenza a tutti i costi. Ti fidi del tuo fornitore RPC qui, quindi utilizza un endpoint affidabile o la soluzione preferita di eseguire il tuo nodo. So che molti non mi credono ancora, ma la verifica locale, basata su CLI, è la strada da seguire. Non interfacce utente ospitate. Il mio script di verifica è _un_ cazzo di file Bash. Chiunque può auditarlo guardando esattamente un file. Nessun ingombro di dipendenze.