Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Developerが陥りやすい3つの罠

Avatar for nakajo2011 nakajo2011
April 14, 2018
Programming
4
4.2k

 Developerが陥りやすい3つの罠

Hi-Ether #2 LT発表資料
Avatar for nakajo2011

nakajo2011

April 14, 2018
Tweet

More Decks by nakajo2011

See All by nakajo2011
Plasma_Overview_gbec20180928.pdf
Avatar for nakajo2011 nakajo2011
0
53
What is Ethereum about tech layer
Avatar for nakajo2011 nakajo2011
0
340
The Ethereum design direction.
Avatar for nakajo2011 nakajo2011
0
54
Report of Devcon5 2019.10.17
Avatar for nakajo2011 nakajo2011
0
580
Compare of Libra and Ethereum
Avatar for nakajo2011 nakajo2011
1
440
What is Move language
Avatar for nakajo2011 nakajo2011
1
1k
blockchain-changing-and-issues
Avatar for nakajo2011 nakajo2011
4
540
Thinking Scalability from DEX
Avatar for nakajo2011 nakajo2011
0
90
Truffleの紹介_in_hicon2018.pdf
Avatar for nakajo2011 nakajo2011
3
270

Other Decks in Programming

See All in Programming
Javaのルールをねじ曲げろ!禁断の操作とその代償から学ぶメタプログラミング入門 / A Guide to Metaprogramming: Lessons from Forbidden Techniques and Their Price
Avatar for nrs nrslib
1
410
Perlで痩せる
Avatar for Yuuki Shimizu yuukis
1
660
PT AI без купюр
Avatar for Vladimir Kochetkov v0lka
0
200
ソフトウェア品質特性、意識してますか?AIの真の力を引き出す活用事例 / ai-and-software-quality
Avatar for MinoDriven minodriven
19
6.7k
ts-morph実践:型を利用するcodemodのテクニック
Avatar for ypresto ypresto
1
540
JVM の仕組みを理解して PHP で実装してみよう
Avatar for memory m3m0r7
PRO
1
250
Doma で目指す ORM 最適解
Avatar for Toshihiro Nakamura nakamura_to
1
160
RubyKaigiで得られる10の価値 〜Ruby話を聞くことだけが RubyKaigiじゃない〜
Avatar for tomohiko.kuzuba tomohiko9090
0
110
List Unfolding - 'unfold' as the Computational Dual of 'fold', and how 'unfold' relates to 'iterate'"
Avatar for Philip Schwarz philipschwarz
PRO
0
140
MLOps Japan 勉強会 #52 - 特徴量を言語を越えて一貫して管理する, 『特徴量ドリブン』な MLOps の実現への試み
Avatar for Tomohiro Tani taniiicom
2
570
TypeScript製IaCツールのAWS CDKが様々な言語で実装できる理由 ~他言語変換の仕組み~ / cdk-language-transformation
Avatar for k.goto gotok365
7
380
tsconfigのオプションで変わる型世界
Avatar for Keisuke Ikeda keisukeikeda
1
130

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.5k
Scaling GitHub
Avatar for Zach Holman holman
459
140k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.3k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.3k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
21k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
92
6k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
123
52k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
70k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
81
9k
Code Review Best Practice
Avatar for Trisha Gee trishagee
68
18k

Transcript

  1. Copyright © 2018 HAW International Inc. All rights reserved. Developerが陥りやすい3つの罠

    SmartContract以外のセキュリティーにも気をつけてい ますか?

  2. Copyright © 2018 HAW International Inc. All rights reserved. 自己紹介

    中城 元臣(Yukishige Nakajo) twitter: @nakajo github: nakajo2011 ・福岡の飯塚市でBlockchainの研究開発やってます。 ・HAW International所属 ・ethereumは2017/11から始めました。

  3. Copyright © 2018 HAW International Inc. All rights reserved. 今日話すこと

    SmartContract以外のセキュリティーにも気をつけてい ますか? 1. checksum利用してますか? 2. リプレイアタック意識してますか? 3. truffle-hdwallet-providerに潜む罠

  4. checksum利用してますか?

  5. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  6. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    • EIP-55で定義 • addressのhashをとる • hash値が8 >= 0を大文字にする

  7. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

  8. Copyright © 2018 HAW International Inc. All rights reserved. 1.checksum利用してますか?

    ・Walletではchecksumを利用してる。 ・Dappsでは?利用してない人が実は多いのでは? ・ethereum-util.jsなどを使えば簡単にチェック可能 ・Dappsでもaddressを各必要のある場所は(たとえ静的なデータ だとしても)checksumを活用しよう。 ・ICAPというフォーマットも提案されているけどまだ主流じゃな い。。。

  9. リプレイアタック意識していますか?

  10. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155以前では同一のaddresから生成されたtransactionは mainnetとtestnetなど区別なく利用可能

  11. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    ・EIP-155でsignature生成時にchain idを含めるようにしてリプレ イアタックをできなくした。 ・でも下位互換を持たせるためchain id = 0のtransactionは相変 わらずリプレイアタックの対象となる

  12. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    Geth

  13. Copyright © 2018 HAW International Inc. All rights reserved. 2.リプレイアタック意識していますか?

    • EIP-155で解決された。でも下位互換として残ってる。 • nodeにsignを依頼する場合は多分大丈夫。ethereumjs-txや ganache-cliなどで生成されたtransactionは確認した方がよ い。 • meta-transactionなど、代替支払いの仕組みを作る場合は特 に注意が必要になると思う。

  14. truffle-hdwallet-providerに 潜む罠

  15. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    infura.io利用する時はtruffle-hdwallet-provider使うことが多い  

  16. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

     

  17. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    https://ropsten.etherscan.io/address/0x959fd7ef9089b7142b6b908dc3a8af7aa8ff0fa1

  18. Copyright © 2018 HAW International Inc. All rights reserved. 3.truffle-hdwallet-providerに潜む罠

    ・mnemonicのvalidationをしていない ・空文字でも動いちゃう ・PR #10を出してるのでそっちを使ってね https://github.com/trufflesuite/truffle-hdwallet-provider/pull/10

  19. Copyright © 2018 HAW International Inc. All rights reserved. おわり

    ブログも宜しく http://y-nakajo.hatenablog.com/