Гарантирует ли генерация транзакций с воздушным зазором, что средства никогда не будут украдены?

Я думаю, что air gap не гарантирует, что средства никогда не будут украдены.

Причина в том, что вы не знаете, что находится внутри сгенерированных байтов транзакции, которые вы копируете и вставляете на онлайн-компьютер для трансляции. Потенциально, если сайт myetherwallet взломан и вы загрузили взломанную версию, он может привязать ваш закрытый ключ и пароль к данным транзакции. Поскольку вы кодируете его и не знаете, что внутри, вы с радостью скопируете и вставите свою транзакцию на онлайн-компьютер и отправите ее, тем самым предоставив контроль над своим кошельком всем.

Интересно, есть ли какое-либо решение для этого риска, например, проверка байтов транзакции, чтобы убедиться, что размер не превышает определенного числа, чтобы никакие дополнительные данные не могли вместиться. Или может быть создан ограниченный контракт кошелька, который может отправлять только эфир без каких-либо прикрепленных данных.

И затем хорошее программное обеспечение для вещания, такое как myetherwallet, должно проверять длину байтов tx и предупреждать пользователя, если она слишком длинная для простой отправки средств.

Ответы (1)

Отвечаю за конкретный случай MyEtherWallet.

Потенциально, если сайт myetherwallet взломан и вы загрузили взломанную версию, он может привязать ваш закрытый ключ и пароль к данным транзакции.

Если вы используете MEW на автономном компьютере, вы, вероятно, используете их автономную автономную версию: https://github.com/kvhnuke/etherwallet .

Это полностью открытый исходный код, и его можно клонировать с GitHub. Предположительно существуют ограничения на фиксацию/утверждение, поэтому, если код изменится, многие люди узнают об этом. Поэтому маловероятно, что вы будете использовать взломанную версию их программного обеспечения в описанном вами случае.

Если кто-то взломал вашу машину с воздушным зазором и изменил двоичный файл MEW, предположительно, получив к нему физический доступ... то он все равно получил доступ к вашей системе.

Поэтому лучшее, что мы можем сделать, — это полагаться на ограничения git commit/approval и защиту браузера при загрузке SSL. Я полагаю, что эти ограничения менее безопасны, чем воздушный зазор, на который мы пытаемся опираться.
Теперь, если это программное обеспечение распространялось через блокчейн, а разработчики публикуют свои коммиты только с машины с воздушным зазором, тогда мы могли бы сказать, что у нас есть безопасность с воздушным зазором.
И что, если веб-сервер github взломан? Гитхаб считается нерушимой крепостью? Кому принадлежит гитхаб? Где гарантия, что они не публикуют неисправный код по запросу правительства или не обслуживают только части IP-адресов с другим кодом, чтобы взлом не был широко замечен.
Я полагаю, что сегодня самый простой способ украсть миллиарды — это взломать myetherwallet или сайт github. Не нужно взламывать биржи, которые имеют гораздо более жесткую защиту, которую можно сломать.
Интересно, что хакерам легче взломать: github, myetherwallet.com, poloniex.com, kraken.com, bankofamerica.com, Chase.com или dhs.gov?
Гарантирует ли генерация транзакций с воздушным зазором, что средства никогда не будут украдены?
СпросиСетьПолитика конфиденциальности1y, 0v