Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

Avatar for nakajo2011 nakajo2011
April 14, 2018
Programming
4
4.3k

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料

Avatar for nakajo2011

nakajo2011

April 14, 2018
Tweet

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
Avatar for nakajo2011 nakajo2011
0
80
What is Ethereum about tech layer
Avatar for nakajo2011 nakajo2011
0
400
The Ethereum design direction.
Avatar for nakajo2011 nakajo2011
0
84
Report of Devcon5 2019.10.17
Avatar for nakajo2011 nakajo2011
0
630
Compare of Libra and Ethereum
Avatar for nakajo2011 nakajo2011
1
460
What is Move language
Avatar for nakajo2011 nakajo2011
1
1.2k
blockchain-changing-and-issues
Avatar for nakajo2011 nakajo2011
4
580
Thinking Scalability from DEX
Avatar for nakajo2011 nakajo2011
0
110
Truffleの紹介_in_hicon2018.pdf
Avatar for nakajo2011 nakajo2011
3
320

Other Decks in Programming

See All in Programming
Cyrius ーLinux非依存にコンテナをネイティブ実行する専用OSー
Avatar for n4mlz n4mlz
0
120
encoding/json/v2のUnmarshalはこう変わった:内部実装で見る設計改善
Avatar for Hiroki Kurasawa kurakura0916
0
390
Codex の「自走力」を高める
Avatar for yorifuji yorifuji
0
1.1k
Claude Code Skill入門
Avatar for maya mayahoney
0
170
DevinとClaude Code、SREの現場で使い倒してみた件
Avatar for karia/Y.Hisamatsu karia
1
1k
LangChain4jとは一味違うLangChain4j-CDI
Avatar for Kenji Kazumura kazumura
1
170
AI時代のソフトウェア開発でも「人が仕様を書く」から始めよう-医療IT現場での実践とこれから
Avatar for kouki.miura koukimiura
0
140
社内規程RAGの精度を73.3% → 100%に改善した話
Avatar for oharu121 oharu121
13
7.9k
AWS Infrastructure as Code の新機能 2025 総まとめ 〜SA 4人による怒涛のデモ祭り〜
Avatar for Kenji Kono konokenj
10
3.3k
Ruby x Terminal
Avatar for Akira Matsuda a_matsuda
7
590
AI時代のシステム設計:ドメインモデルで変更しやすさを守る設計戦略
Avatar for 増田 亨 masuda220
PRO
4
710
コードレビューをしない選択 #でぃーぷらすトウキョウ
Avatar for Takuma Kajikawa kajitack
3
860

Featured

See All Featured
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
140
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
670
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
220
A Guide to Academic Writing Using Generative AI - A Workshop
Avatar for Kenji Saito ks91
PRO
0
230
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
160
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
72
12k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
Avatar for AKADEMIYA2063 akademiya2063
PRO
1
69
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
81
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/