Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for nakajo2011 nakajo2011
April 14, 2018
Programming
4
4.3k

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料

Avatar for nakajo2011

nakajo2011

April 14, 2018
Tweet

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
Avatar for nakajo2011 nakajo2011
0
78
What is Ethereum about tech layer
Avatar for nakajo2011 nakajo2011
0
390
The Ethereum design direction.
Avatar for nakajo2011 nakajo2011
0
80
Report of Devcon5 2019.10.17
Avatar for nakajo2011 nakajo2011
0
630
Compare of Libra and Ethereum
Avatar for nakajo2011 nakajo2011
1
460
What is Move language
Avatar for nakajo2011 nakajo2011
1
1.2k
blockchain-changing-and-issues
Avatar for nakajo2011 nakajo2011
4
570
Thinking Scalability from DEX
Avatar for nakajo2011 nakajo2011
0
110
Truffleの紹介_in_hicon2018.pdf
Avatar for nakajo2011 nakajo2011
3
310

Other Decks in Programming

See All in Programming
2026年 エンジニアリング自己学習法
Avatar for yumechi(Motoki Hirao) yumechi
0
140
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
180
要求定義・仕様記述・設計・検証の手引き - 理論から学ぶ明確で統一された成果物定義
Avatar for Kuniwak orgachem
PRO
1
150
並行開発のためのコードレビュー
Avatar for Miyuki miyukiw
0
280
AI時代のキャリアプラン「技術の引力」からの脱出と「問い」へのいざない / tech-gravity
Avatar for MinoDriven minodriven
21
7.3k
Rust 製のコードエディタ “Zed” を使ってみた
Avatar for NearMeの技術発表資料です nearme_tech
PRO
0
190
責任感のあるCloudWatchアラームを設計しよう
Avatar for アキキー akihisaikeda
3
180
それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策
Avatar for ikechi penpeen
7
3.9k
humanlayerのブログから学ぶ、良いCLAUDE.mdの書き方
Avatar for Yuto tsukamoto1783
0
200
そのAIレビュー、レビューしてますか? / Are you reviewing those AI reviews?
Avatar for r-kagaya rkaga
6
4.6k
Grafana:建立系統全知視角的捷徑
Avatar for Blueswen blueswen
0
330
【卒業研究】会話ログ分析によるユーザーごとの関心に応じた話題提案手法
Avatar for MomokoShirakawa momok47
0
200

Featured

See All Featured
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
290
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
190
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.3k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
77
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon szymonslowik
1
910
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.2k
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
240
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
Leo the Paperboy
Avatar for Maya Tellez mayatellez
4
1.4k
BBQ
Avatar for Matthew Crist matthewcrist
89
10k

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/