Сейчас на волне пампа снова очень много инвесторов потянулись за своими портфелями альтов.
Каждый второй юзает Myetherwallet. По статистике их сайт находится на 2800-м месте мира. Можно только представить себе сколько бабок на кошельках, которые хотя бы единожды подключались к MEW.
В связи с этим возникает вопрос о том какие гарантии, что данный сервис не осуществляет сбор данных о приватных кошельках вводимых посредством интерфейса MEW?
Понятное дело, что исходники сайта находятся в открытом доступе на гитхабе, неоднократно проверены и т.п. Но это актуально лишь в том случае, если запускать их локально на своем компе.
А вот про то, что стоит на самом
https://www.myetherwallet.com/ вызывает некоторые вопросы. Интересно существуют ли гарантии, что на сайте у них стоит именно тот же скрипт, что и в исходниках на гитхабе и не добавлены функции сбора данных?
Страница работает полностью на стороне клиента. Поэтому даже загруженную с их сервера веб-страницу можно проверить.
И можно в режиме дебага проверить все отсылаемые данные на сервер.
Как часто проверяют MEW? Ничто не мешает разрабам на какое-то время (когда идет наплыв пользователей, например, в предверии крупного ICO) подменить скрипт, потом вернуть старый обратно. Либо подсовывать его части пользователей.
Не исключено развитие событий, аналогичное etherdelta (подмена адреса сайта в ДНС).
А с учетом уязвимости 03.01.2018, возможен запуск скрипта, который собирает ключи. По этому, всем необходимо поставить критические обновления и использовать аппаратные кошельки.
Или как минимум использовать:
1. Браузеры, в которых учтена данная аппаратная уязвимость
2. Дополнения к браузеру, которые помогут проконтролировать сайт, в случае подмены.
Для параноиков, использовать все вышеперечисленные методы.