kupiłeś nowe urządzenie sprzętowe, ale jesteś podejrzliwy, że coś zostało zmanipulowane. Najpierw uruchom tryb odzyskiwania i zaktualizuj do najnowszego oprogramowania układowego. To przejdzie kontrolę autentyczności bez konieczności wprowadzania klucza. Teraz nadal jesteś podejrzliwy (co jest dobre!). Jeśli atakujący chcą, aby manipulacja była mniej oczywista (co oczywiście będą próbowali zrobić), jednym ze sposobów byłoby manipulowanie generowaniem nonce podpisu w taki sposób, że później ujawnisz klucz prywatny za pomocą podpisów. Co więc robisz? Cóż, weryfikujesz za pomocą _dummy seed_, czy wygenerowany nonce jest zgodny z RFC 6979. Napisałem prosty skrypt w Pythonie, który każdy może łatwo użyć: - nie ma znaczenia, czy to Ledger, Trezor czy jakikolwiek inny portfel sprzętowy; nie ufaj mu z założenia, gdy go otwierasz.

na początku byłem dość wkurzony, gdy Safe postanowił przejść na punkty końcowe tylko z autoryzacją, ponieważ to w dużej mierze zniszczyłoby moje narzędzie `safe-tx-hashes-util` (możesz nadal używać trybu `--interactive` bez polegania na jakimkolwiek API, oczywiście) a ograniczanie prostych weryfikacji transakcji kluczem API w ogóle nie jest w stylu Cypherpunk. Po kilku wymianach zdań zgodzili się pozwolić na 1 żądanie na sekundę bez autoryzacji (dzięki za otwartość i przyjęcie mojej opinii!). Zaktualizowałem skrypt, więc nie ma _żadnej zmiany w użyciu_. Po prostu pobierz najnowszy główny commit (masz około 1 miesiąca, zanim oryginalne punkty końcowe przestaną działać). W ten sposób każdy może nadal weryfikować domenę i hashe wiadomości dowolnej transakcji Safe bez potrzeby posiadania klucza API w przyszłości.

Dobrze, po tygodniu pracy możesz teraz w pełni symulować transakcje Safe _lokalnie_ przed podpisaniem i weryfikować hashe transakcji równolegle, używając mojego `safe-tx-hashes-util` za pomocą jednego polecenia (po prostu użyj flagi `--simulate`). To pozwala ci dokładnie sprawdzić, jak transakcja zostanie wykonana przed podpisaniem. Wszystko jest lokalne. Wszystko, co jest wykonywane, jest drukowane w terminalu. Przejrzystość za wszelką cenę. Ufasz swojemu dostawcy RPC, więc użyj zaufanego punktu końcowego lub preferowanego rozwiązania, jakim jest uruchomienie własnego węzła. Wiem, że wielu wciąż mi nie wierzy, ale weryfikacja lokalna, oparta na CLI, to właściwy kierunek. Żadne hostowane interfejsy użytkownika. Mój skrypt weryfikacyjny to _jeden_ pierdolony plik Bash. Każdy może go audytować, patrząc na dokładnie jeden plik. Żadnego nadmiaru zależności.