Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

nakajo2011
April 14, 2018
Programming
4
4.2k

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料

nakajo2011

April 14, 2018
Tweet

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
nakajo2011
0
48
What is Ethereum about tech layer
nakajo2011
0
300
The Ethereum design direction.
nakajo2011
0
42
Report of Devcon5 2019.10.17
nakajo2011
0
550
Compare of Libra and Ethereum
nakajo2011
1
420
What is Move language
nakajo2011
1
960
blockchain-changing-and-issues
nakajo2011
4
520
Thinking Scalability from DEX
nakajo2011
0
88
Truffleの紹介_in_hicon2018.pdf
nakajo2011
3
250

Other Decks in Programming

See All in Programming
20241217 競争力強化とビジネス価値創出への挑戦:モノタロウのシステムモダナイズ、開発組織の進化と今後の展望
monotaro
PRO
0
280
Rubyでつくるパケットキャプチャツール
ydah
0
170
月刊 競技プログラミングをお仕事に役立てるには
terryu16
1
1.2k
Androidアプリの One Experience リリース
nein37
0
1.2k
php-conference-japan-2024
tasuku43
0
430
ゼロからの、レトロゲームエンジンの作り方
tokujiros
3
1k
PicoRubyと暮らす、シェアハウスハック
ryosk7
0
220
はてなにおけるfujiwara-wareの活用やecspressoのCI/CD構成 / Fujiwara Tech Conference 2025
cohalz
3
2.7k
rails newと同時に型を書く
aki19035vc
5
710
情報漏洩させないための設計
kubotak
5
1.3k
PSR-15 はあなたのための ものではない? - phpcon2024
myamagishi
0
400
ecspresso, ecschedule, lambroll を PipeCDプラグインとして動かしてみた (プロトタイプ) / Running ecspresso, ecschedule, and lambroll as PipeCD Plugins (prototype)
tkikuc
2
1.8k

Featured

See All Featured
Thoughts on Productivity
jonyablonski
68
4.4k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Producing Creativity
orderedlist
PRO
343
39k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
192
16k
A Philosophy of Restraint
colly
203
16k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Code Reviewing Like a Champion
maltzj
521
39k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7.1k
The World Runs on Bad Software
bkeepers
PRO
66
11k

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/