Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

Avatar for nakajo2011 nakajo2011
April 14, 2018
Programming
4.3k
4

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料

Avatar for nakajo2011

nakajo2011

April 14, 2018

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
Avatar for nakajo2011 nakajo2011
0
95
What is Ethereum about tech layer
Avatar for nakajo2011 nakajo2011
0
410
The Ethereum design direction.
Avatar for nakajo2011 nakajo2011
0
94
Report of Devcon5 2019.10.17
Avatar for nakajo2011 nakajo2011
0
650
Compare of Libra and Ethereum
Avatar for nakajo2011 nakajo2011
1
470
What is Move language
Avatar for nakajo2011 nakajo2011
1
1.2k
blockchain-changing-and-issues
Avatar for nakajo2011 nakajo2011
4
590
Thinking Scalability from DEX
Avatar for nakajo2011 nakajo2011
0
120
Truffleの紹介_in_hicon2018.pdf
Avatar for nakajo2011 nakajo2011
3
330

Other Decks in Programming

See All in Programming
Composerを使ったサプライチェーン攻撃の様子を眺めてみる #phpstudy
Avatar for hideki kinjyo o0h
PRO
2
250
AI時代のUIはどこへ行く?その2!
Avatar for Yusuke Wada yusukebe
21
7.2k
net-httpのHTTP/2対応について
Avatar for NARUSE, Yui naruse
0
480
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
Avatar for terry-u16 terryu16
0
260
TypeScript+Orvalで実現する型安全かつ堅牢でスケーラブルなマルチチャネル通知基盤 / TSKaigi Night talks ~after conference~
Avatar for doriven d0riven
0
340
ADKを使って簡単にAIエージェントを作ってみよう
Avatar for K1mu21 k1mu21
0
260
代数的データ型って何が嬉しいの? #frontend_phpcon_do
Avatar for Takuma Kajikawa kajitack
8
3.7k
OSもどきOS
Avatar for Sora Arakawa arkw
0
570
Vue × Nuxt × Oxc どこまで使える?実運用の現在地
Avatar for ANDPAD inc andpad
0
250
RTSPクライアントを自作してみた話
Avatar for simotin13 simotin13
0
610
Claspは野良GASの夢をみるか
Avatar for てらうちたかし takter00
0
190
決定論的オーケストレーションの設計と実装 / Design and Implementation of Deterministic Orchestration
Avatar for nrs nrslib
4
1.4k

Featured

See All Featured
30 Presentation Tips
Avatar for Ian Lurie portentint
PRO
1
320
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
170
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
190
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8.2k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
580
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.7k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.8k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
10k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
250
1.3M

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/