Garantiert die Air-Gap-Tx-Generierung, dass Gelder niemals gestohlen werden?

Ich denke, ein Luftspalt garantiert nicht, dass Gelder niemals gestohlen werden.

Der Grund dafür ist, dass Sie nicht wissen, was sich in generierten Transaktionsbytes befindet, die Sie kopieren und auf einen Online-Computer einfügen, um sie zu senden. Wenn die myetherwallet-Site gehackt wird und Sie die gehackte Version heruntergeladen haben, kann sie möglicherweise Ihren privaten Schlüssel und Ihr Passwort an Transaktionsdaten anhängen. Da Sie es codieren und nicht wissen, was sich darin befindet, kopieren Sie Ihre Transaktion gerne per Copy&Paste auf einen Online-Computer und senden Sie sie, wodurch jeder die Kontrolle über Ihre Brieftasche erhält.

Ich frage mich, ob es eine Lösung für dieses Risiko gibt, wie das Überprüfen von Transaktionsbytes, um sicherzustellen, dass die Größe nicht größer als eine bestimmte Zahl ist, damit keine zusätzlichen Daten angepasst werden können. Oder Sie erstellen einen eingeschränkten Wallet-Vertrag, der nur Ether ohne angehängte Daten senden kann.

Und dann sollte eine gute Broadcasting-Software wie myetherwallet die Länge der TX-Bytes überprüfen und den Benutzer warnen, wenn es zu lang ist, um nur Geld zu senden.

Antworten (1)

Beantwortung des speziellen Falls von MyEtherWallet.

Wenn die myetherwallet-Site gehackt wird und Sie die gehackte Version heruntergeladen haben, kann sie möglicherweise Ihren privaten Schlüssel und Ihr Passwort an Transaktionsdaten anhängen.

Wenn Sie MEW auf einem Offline-Computer verwenden, verwenden Sie vermutlich die eigenständige Offline-Version: https://github.com/kvhnuke/etherwallet

Dies ist vollständig Open Source und kann von GitHub geklont werden. Es gibt vermutlich Commit-/Genehmigungsbeschränkungen, also sollte sich der Code ändern, wissen viele Leute davon. Es ist daher unwahrscheinlich, dass Sie in dem von Ihnen skizzierten Fall eine gehackte Version ihrer Software verwenden.

Wenn jemand Ihre Air-Gap-Maschine gehackt und die MEW-Binärdatei geändert hat, vermutlich durch physischen Zugriff darauf, dann hat er sowieso Zugriff auf Ihr System.

Das Beste, was wir also tun können, ist, uns auf Git-Commit-/Genehmigungsbeschränkungen und Browser-Download-SSL-Schutzmaßnahmen zu verlassen. Ich nehme an, diese Beschränkungen sind weniger sicher als der Luftspalt, auf den wir uns zu verlassen versuchen.
Wenn diese Software nun über Blockchain verteilt wurde und Entwickler ihre Commits nur von Air-Gap-Maschinen veröffentlichen, dann könnten wir sagen, dass wir Air-Gap-Sicherheit haben.
Und was ist, wenn der Github-Webserver gehackt wird? Gilt Github als unzerbrechliche Festung? Wem gehört github? Wo ist die Garantie, dass sie keinen fehlerhaften Code auf Regierungsanfrage veröffentlichen oder nur Teile von IP-Adressen mit anderem Code liefern, damit Hack nicht allgemein bemerkt wird?
Ich nehme an, dass der einfachste Weg, Milliarden zu stehlen, heute darin besteht, myetherwallet oder die github-Website zu hacken. Es ist nicht erforderlich, Börsen zu hacken, die viel strengere Schutzmaßnahmen zum Aufbrechen hätten.
Ich frage mich, was von Hackern github, myetherwallet.com, poloniex.com, kraken.com, bankofamerica.com, chase.com oder dhs.gov als leichter zu hacken angesehen wird?
Garantiert die Air-Gap-Tx-Generierung, dass Gelder niemals gestohlen werden?
AntwortenHierDatenschutz-Bestimmungen1y, 0v