Прочитайте, пожалуйста, Whitepaper, там есть вся эта информация. Так будет быстрее, и проще, чем пересказывать ее в телеграме)

про что проект в двух словах ?

ок добро

Whitepaper и ветка бтт на русском скоро будут

ок хорошо

А как можно убедиться в неизменности выполняемого из контейнера кода?

Снятием хэша с контейнера и сравнением его с мастер-копией

В момент запуска да

А как убедиться что в процессе выполнения не модиф код в памяти?

А как определить что нода не присылает поддельный хеш контейнера?

На машине Майнкрафт у которого есть рут

Майнкрафт=майнер

Не только в момент запуска, мы можем через равные промежутки времени делать туда пинг и снимать хэш

Подписывать вшитым ключом

А что мешает ей присылать один раз взятый правильный или отдельно держать правильный контейнер для взятия хешей а считать все на "неправильном" на самом деле?

Или модифицировать код непосредственно в памяти?

У нас прямой коннект к запущенному контейнеру, данные с "неправильного" контейнера, для которого нет интерфейса на докер-клиенте на стороне хаба просто не пройдут внутрь вообще. Поэтому единственный способ обмана - это скачать правильный контейнер, к которому есть валидный интерфейс на стороне хаба и попытаться его модифицировать.

Однако здесь надо понимать, что софт на компе майнера в общем-то многослойный, т.е.:
sonm-miner -> docker engine -> docker container

Локальный рут у майнера есть ТОЛЬКО к контейнеру, но внутрь движка докера он попасть разумеется не может, а функция снятия хэша находится именно там., поэтому нам достаточно регулярно запрашивать выполнение снятия хэша, что будет выполнено движком докера и подписано вшитым приватным ключом (опять же на стороне движка), что обеспечит защиту от перехвата и подделки транзакции.

Кто мешает иметь рут на машине где все это запускается?

в см?