Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

Avatar for nakajo2011 nakajo2011
April 14, 2018
Programming
4
4.2k

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料
Avatar for nakajo2011

nakajo2011

April 14, 2018
Tweet

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
Avatar for nakajo2011 nakajo2011
0
57
What is Ethereum about tech layer
Avatar for nakajo2011 nakajo2011
0
340
The Ethereum design direction.
Avatar for nakajo2011 nakajo2011
0
57
Report of Devcon5 2019.10.17
Avatar for nakajo2011 nakajo2011
0
580
Compare of Libra and Ethereum
Avatar for nakajo2011 nakajo2011
1
440
What is Move language
Avatar for nakajo2011 nakajo2011
1
1.1k
blockchain-changing-and-issues
Avatar for nakajo2011 nakajo2011
4
550
Thinking Scalability from DEX
Avatar for nakajo2011 nakajo2011
0
93
Truffleの紹介_in_hicon2018.pdf
Avatar for nakajo2011 nakajo2011
3
280

Other Decks in Programming

See All in Programming
プロダクト志向ってなんなんだろうね
Avatar for RightTouch righttouch
PRO
0
160
Systèmes distribués, pour le meilleur et pour le pire - BreizhCamp 2025 - Conférence
Avatar for Sébastien LECACHEUR slecache
0
110
「Cursor/Devin全社導入の理想と現実」のその後
Avatar for Ryoichi Saito saitoryc
0
160
5つのアンチパターンから学ぶLT設計
Avatar for Narihara narihara
1
120
LINEヤフー データグループ紹介
Avatar for LINEヤフー株式会社 採用情報 lycorp_recruit_jp
0
900
既存デザインを変更せずにタップ領域を広げる方法
Avatar for Tiphaine tahia910
1
240
Haskell でアルゴリズムを抽象化する / 関数型言語で競技プログラミング
Avatar for Naoya Ito naoya
17
5k
GoのGenericsによるslice操作との付き合い方
Avatar for syumai syumai
3
690
0626 Findy Product Manager LT Night_高田スライド_speaker deck用
Avatar for Mana Takada mana_takada
0
110
Webの外へ飛び出せ NativePHPが切り拓くPHPの未来
Avatar for Takuya Katsusa takuyakatsusa
2
430
AIコーディング道場勉強会#2 君(エンジニア)たちはどう生きるか
Avatar for misaki.otb misakiotb
1
250
Result型で“失敗”を型にするPHPコードの書き方
Avatar for Takuma Kajikawa kajitack
4
460

Featured

See All Featured
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
28
5.4k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
188
11k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
82
9.1k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.6k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
330
24k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.8k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/