所有由dianyingkan发布的文章

哪家区块链培训机构比较好呢?最近看了尹成学院,大家有知道的吗?

兄弟 连教育与清华系区块链创业团队以尹成为首的水木未名团队签约设立区块链学院,学院依托尹成团队丰富的教研与开发能力,借助兄弟 连教育的服务和运营平台,旨在为中国区块链领域孵化优质的专业人才。

尹成毕业于清华大学,是国内区块链领域顶尖专业人才,精通C/C++、,golang,Python、KaliLinux、sicikit-learn与tensorflow,EOS开源贡献者,开发诸多区块链加密货币,曾担任Google算法工程师,微软Tech.Ed大会金牌讲师,是微软全球人工智能以及区块链领域最具价值的专家。他并拥有15年编程经验与5年的教学经验,是资深的软件架构师和Intel软件技术专家,其领衔的区块链学院教研团队主要由毕业于清华大学,北京大学等知名院校相关专业的硕士、博士组成。

在刚刚结束的“阿希之夏”全球区块链创客马拉松上,经过48小时的连续编程鏖战,三只领先团队瓜分了万币大奖,来自清华的水木未名队以其算法实力获得了当之无愧的冠军,而来自美国的一对刚满18岁的双胞胎高中生获得了亚军,聚智队则通过杰出的团队协作和链上应用场景获得季军。

[上海] AngelHack2018 全球黑客马拉松系列

戳这里抢早鸟票

今年AngelHack全球黑客马拉松系列首次登陆上海, 我们为大家带来了总价值约10000人民币的奖励, 可口的美食零食饮料, 有趣的参赛伙伴, 以及难忘的参赛经历.

如果你有充满创意的想法, 或者喜欢编程, 赶紧点击上面或者文末的连接报名! 空想一整年, 不如实实在在干一个周末!

以下奖励来自AngelHack官方, 和我们的赞助伙伴. 参赛队伍可以设计一个产品参加所有挑战, 拿走所有奖励(如果足够好), 也可以侧重一个挑战, 拿走某个特定奖励.

天使黑客挑战: 挑战你的技术和你的创业精神. 创造天马行空的产品, 为世界带来积极的改变, 无论解决的问题是大或小, 就是这么简单.

天使黑客奖: 12周的大牛导师带路, 然后至硅谷参加为期一周的Global Demo Day, 费用AngelHack全包.

专家网络行业革新挑战: 提出先进理念与解决方案打破创投资讯行业, 使资讯行业传播更精准便捷与高效. 提出的理念或者解决方案可以涵盖区块链, 共享经济, 数据分析与交互, 人工智能, 数据安全等技术. 六度智囊希望借此活动引发参与者对于专家网络行业的关注, 开发智能解决方案(产品)用于提升行业效率, 变革与交互.

Bad-ass Hacker奖: 15000元人民币 + 高薪Offer

PropTech挑战: 针对或涵盖物联网、区块链、共享经济、设计与建造、数据科学与分析、智能停车和信息交流与共享等方面, 提出解决方案.

PropTech奖: 10000元人民币

仲量联行希望能看到此次活动的参与者充分利用技术与创新帮助房地产行业进行变革. 解决方案可以围绕以下两个方面:

  • 房地产交易和服务 – 开发智能的方案用于提高市场上物业买卖与租赁交易的效率.
  • 物业管理 – 提出先进的理念和解决方案去打破传统物业管理模式,使物业管理进入一个全新的智能时代,节省人力、节省能耗,并能够提供前瞻性的服务.

PropTech是指房地产科技是科技与房地产的结合.

声网实时通信挑战: 使用Agora SDK创建一个应用或网站, 来体现RTC技术的应用. 使用RTC技术来解决一个现实中的问题, 或者进行一个场景的创新. 比如: 在线合唱、在线辩论.

声网实时通信奖: 5000元人民币 + 9月北京出席RTC2018大会并现场演示产品

代码行动编程挑战 代码行动是根据交通和天气情况来改善物流, 提升人类应对自然灾害能力的编程挑战, 通过对天气和交通状况的了解来有效地减少受影响的人数. 用IBM代码模式激发您开启解决方案的灵感, 或者在IBM云上利用其他IBM代码模式和服务创建您的想法. 代码行动是一项为期多年的全球性倡议, 旨在鼓励开发人员利用可持续的软件解决方案来解决迫在眉睫的全球性问题. 通过这次挑战来获得竞争优势, 构建相应的解决方案来显著改善您所在社区和全球范围内当前的灾害防备情况.

代码行动全球奖

  • 第一名, 7500美元现金

  • 第二名, 2500美元现金

公益编程挑战 创建一个可以解决直接影响你所在社区的社会或环境问题的高科技产品.

公益编程社会影响奖: 每场马拉松设有一项社会影响奖. 在全球黑客马拉松季的最后, 最佳社会影响奖项目将会由陈-扎克伯格基金会和其他专家组成的组委会评选产生. 最后的五强将会收到天使黑客黑客加速器项目的特约邀请函.

参赛团队还有机会获得Axiom6AI赠出的FitBit可编程智能手表.

09:00 – 10:00 开始注册及早餐

10:00 – 11:00 开幕仪式,赞助商介绍,团建

11:00 – 11:01 编程开始

12:00 – 13:00 午餐

22:00 – 23:00 游说工作坊

23:00 – 00:00 宵夜和娱乐

08:00 – 08:30 早餐

12:00 – 12:30 午餐

13:00 – 13:30 完成代码和最终提交

13:30 – 14:00 影音设备检查

14:00 – 16:00 演示

16:00 – 17:00 宣布获奖名单/颁奖!

裸心社 西康路

上海市普陀区 长寿路189号6楼

我们对待黑客马拉松是严肃活泼认真的, 所以我们有一群严肃活泼认真的评委.

Louisa Cao VP of Marketing Operation at Agora

Shereen Yu Director at Six Degrees

Eddie Ng Managing Director, East China at JLL

Qing Jia Senior Consultant at Six Degree

Chen Lou Associate Director, Research, Shanghai at JLL

Kapil Kane Director of Innovation at Intel Corporation and co-founder of Ideas2Reality (I2R)

Celina Chew President at Bayer Group Greater China

William Hoang Founder at Axiom6AI

Nishtha Mehta Founder at CollabCentral

Jan Smejkal APAC Director at Startup Grind

Rachel Daydou APAC Innovation Director at FΛBERNOVEL

AngelHack来自硅谷, 是全球最大的黑客马拉松社区, 每年在全球超过50个国家举办将近200场黑客马拉松. 多年来, AngelHack的全球黑客马拉松系列成功诞生了上百家科技公司, AngelHack也为Microsoft, Google, Lenovo, MasterCard等全球顶级科技公司成功举办了多届企业黑客马拉松, 以及全球最大的区块链黑客马拉松–EOS全球黑客马拉松.

  • EventBank
  • 活动行

人民需要区块链

计算机主板上的比特币与挂锁,这是一种加密货币的互联网数据隐私和信息安全概念。

 

区块链也会鼓励各方对自己的行为负责。透明性和不可篡改性让相关各方能方便地了解交易的状态和历史,从而确保一切可疑行为都受到监控与惩罚。

 

最终,参与者将被迫在做出选择时从善如流,做正确的事。

 

 
 

撰文:Roger Aitken

编译:Sky

 

区块链的大部分喧嚣都围绕着它在金融和商业领域的应用。加密货币市场和ICO(首次代币发行)仍主导着关于该技术的讨论,海量资金源源不断地流入该领域,重点依然是将区块链技术视为一种赚钱的手段。

 

人们往往会忽略区块链或分布式账簿技术在公共利益方面的潜在应用。引用依据美国开国总统、国家奠基人之一乔治·华盛顿的话:“除了推广公共利益以外,我没有任何其他观点,除了祖国嘉许的荣誉以外,我对其他荣誉别无所求。”

 

其实,区块链技术的安全、透明和不可篡改性能使其成为公益事业的一个重要工具,从这个角度来看,当前的状况相当令人惋惜。比特币是在21世纪第一个十年尾声的金融危机后构想出来的,它旨在成为一种独立于金融机构影响之外的数字货币,但今天,许多人并不熟悉这些来龙去脉。

 

因此,当我们看到有一些项目以“民享”(for-the-people)为出发点,力求通过创建机制来推动公正与平等,我们应该感到欣慰。一系列的相关努力正在涌现,并开始收获关注。而它们的起步都是先推出某种令人瞩目的产品或服务。

 

例如,区块链平台先驱Horizon State近日宣布了几项合作,将部署投票机制,以鼓励民众参与。去中心化的社交媒体平台Sapien通过ICO募集了1100万美元,利用这笔钱,这家平台可以继续追求它的目标:为内容创造者提供公平合理的发表途径。

 

此外还有Substratum这样的项目,这是一家美国的软件开发公司,曾为苹果、迪士尼、Facebook和惠普等财富100强的企业架构、开发和部署软件方案。还有去中心化身份基金会,该组织正为民众、机构、应用和设备打造一套去中心化的开源身份生态系统,目标是实现网络基础设施和数字身份的去中心化。

 

有了初步了解后,我们来看一看这些项目正在哪三个领域帮助解决现代社会的问题和改善公共利益。
 

 

1. 共识建设

 

尽管民主在全球不断发展,但促进民主进程的机制还远不完美。比如,直到近期才有政府开始采纳电子投票,以促进选举的便利性。

 

在电子投票过程中,选民使用一种电子装置来投票并对选择加以记录。投票的选择记录在机器本身中,或记录在机器生成的代币中。

 

2001年,在爱沙尼亚的一个“有数字头脑”的联合政府执政下,电子投票在该国流行了起来。2005年,爱沙尼亚通过其市政选举试点项目,成为了全球首个在互联网上举行法定普选的国家,2014年,该国又成为了首个提供电子居留权的国家。2007年的爱沙尼亚国会大选也使用了互联网投票方式——另一项全球第一。

 

甚至连美国总统唐纳德·特朗普也在参选总统前申请并获得了爱沙尼亚的电子居留权。据说,爱沙尼亚特勤组织ESSAD成功的秘密行动引起了特朗普对该居留权的兴趣。

 

2016年初,爱沙尼亚的一档英文媒体频道爱沙尼亚世界引用了特朗普的话,说他喜欢这份电子居留权,是因为他“喜欢大创意”。他还说:“我不喜欢蠢货。既然要思考,不妨往大处思考。这没有像中国、日本或墨西哥那样占我们的便宜。”

 

尽管如此,许多国家和地区仍然倚赖纸质选票,这种方式很容易受到人为操纵。但就算采纳了电子方法,一旦软件或硬件出错,还是可能出现问题,甚至导致灾难性的后果,损害选举流程的正当性。

 

比如,Horizon State正在推广利用区块链来创建共识。通过该公司的平台,机构可使用数字选票箱进行安全投票。选票将记录在以太坊区块链中,得到永久保存,并不可篡改。投票者的身份也是匿名和保密的,以防止潜在报复。

 

去年成功完成ICO后,Horizon State如今的重点是寻找更多使用其平台的伙伴。最近,该平台在印度尼西亚掀起了热潮,他们在那里与包括经济学家马祖基·奥斯曼博士和社会宗教组织伊斯兰教士联合会在内的人员和机构建立了合作关系。

 

另外,该平台也可为社会改革和公民行动出力。它能让公民安心地对特定竞选运动或政策投票。另外,由于发展中国家的弱势群体往往无法参与决策过程,该平台也会让他们有更多机会尽到自己的公民义务。

 

Horizon State的CEO奥伦·阿拉斯拉基在IT领域有20年左右的高管经验,他在今年3月末评论说:“我们已经看到对我们平台感兴趣的机构在快速增加,这些机构希望让成员参与到有意义的对话中来,改善决策过程和成员的主人翁意识,进而改善机构的表现。”

 

2. 言论自由

 

今天,随着某些中心化平台的影响力日增,以及社交媒体上虚假信息的泛滥,言论自由岌岌可危,民主制度风雨飘摇。这不仅会限制公众接触到的观点类型,也会影响选民的想法和行为。

 

中心化的社交媒体往往会对发表在他们的网站和服务上的内容实施管理。内容生产者甚至会感觉受到剥削,因为这些平台能轻易获取对用户创造内容(UGC)的永久授权,然后完全基于平台的利益进行套现。他们还可以随意对内容进行审查,禁止特定内容出现在平台上。尽管如此,假新闻依然在每一个角落甚嚣尘上。

 

为此,Sapien等基于区块链的平台开始提供有别于中心化平台的选择。作为一家社交媒体平台,Sapien鼓励言论自由,鼓励创造与分享高品质的内容,同时会打击虚假新闻。

 

另外,Sapien允许用户在公共与私人浏览之间切换,以保障私人数据的安全。为防止泄漏,所有聊天和私人数据都是加密的。

 

Sapien的CEO安吉特·巴蒂亚去年11月说过:“言论自由无疑是我们人类拥有的最基本的权利之一。它赋予了我们表达意见、批评他人和进行有意义讨论的能力。”

 

他还说:“言论让我们能够反思自己的思想与行动的质量。当我们接触到相反的证据时,我们就获得了一次机会,可以重估我们的道德观,甚至修正我们对现实的理解。”

 

另外,内容创造者还可以通过一个内容市场让优秀的内容出现在平台上。通过透明的规则和內在的奖励机制,Sapien鼓励用户聚焦于品质和公平互动。
 

 

 

3. 隐私与数据所有权

 

隐私也成为了当今用户关心的主要问题。有些政府甚至开始监控和管制互联网行为,限制公民在网上能做的事。但更令人担忧的是,政府对于保护数据的热情完全无法与管控用户行为的热情相提并论。政府和其他方面将个人信息暴露给了网络黑客,将用户和公民置于危险境地。

 

各种区块链项目宣称要克服这个问题。比如,Substratum为互联网管制严苛的国家和地区提供了喘息机会。作为一个利用区块链的开源网络,该公司的技术能让用户用上一种分布式的基础设施。

 

他们宣称自己的使命是通过一种创新和全局式的方式将所谓的“已被证实的技术建筑区块与新兴技术整合起来,帮助解决现代互联网面临的众多问题,”以迎接一个自由而公正的未来互联网。

 

用户不必依赖于集中式数据中心或使用虚拟的私人网络、私人浏览器或洋葱路由器,就能托管或登入网站和应用。

 

谈到互联网审查时,Substratum的首席营销官克里斯蒂安·波普表示:“政府审查是无法为我们带来一个可接受的结果的。成功取决于个人验证,而非政府多管闲事。”

 

波普曾担任营销副总裁、首席营销官,也做过咨询师,主要关注B2B财富1000强和B2C初创企业。他表示:“现在需要的是个人能确保他们以及同伴的网络都是可信任的。我们需要某种能从一个网络带到另一个网络的验证盔甲,来保障安全与效率。要维持一个自由的互联网,我们不能像羊入虎口那样任凭互联网审查者的宰割。”

 

除政府外,商业机构对于用户数据的入侵也十分严重。比如,谷歌和Facebook严重依赖于从用户行为得出的个人喜好,来驱动它们的广告引擎。

 

有时,企业也会非常不负责任。伊奎法克斯公司(Equifax)遭遇的大规模黑客攻击导致了1.48亿美国人的个人和财务信息泄露,这件事凸显了通过中心化方式全面存储和保管此类数据的脆弱性。

 

目前,关于隐私的问题日益受到消费者的关注,媒体也纷纷报道。前不久,剑桥分析公司的搞鬼让Facebook卷入了一场数据丑闻,影响了多达8700万的Facebook用户。

 

随着隐私变得前所未有得重要,用户想要最大限度的匿名性。加密货币CloakCoin已经在着手通过一种简单、实用、经济的几乎即时的方式,为货币持有人提供“天然财务自由”。

 

他们的私人、安全、不可追踪的支付系统被称为ENIGMA,它能保障用户私密而安全地将Cloak转给彼此,CloakCoin称这种方式能减少“不速之客窥探或盗取”的可能性。

 

去中心化身份基金会(DIF)这样的项目致力于让用户更好地掌控自己的个人信息。为实现这一目标,DIF正打造一个通用的认证系统,允许用户、应用以及设备进行身份验证,而无需一个中心化的管理方参与。

 

DIF的项目允许用户注册自我主权的身份标识(即可供任何个人、组织或物品使用的终身便携的身份标识)、安全存储身份数据,以及自主选择与他人分享信息。

 

拥有自主权身份(智能身份)能让持有人以私密而安全的方式提供可验证的证件。机票、驾照等等都能用这些证件代表。

 

DIF对区块链和Zero-Trust(零信任)数据存储的使用能帮助减少侵入风险,防止他方利用用户数据获益。该项目已经收获了众多追随者,甚至包括IBM这样的企业区块链参与者,以及加密领域的超级账簿(Hyperledger)项目和其他形形色色的团体。

 

Zero Trust基本就是一个安全概念,它认为机构不应随意信任边界内外的一切。在给予准入许可之前,它必须对一切试图接入系统的东西进行验证。

 

做正确的事

 

上文提到的这些项目的成长与成功应该会让越来越多的人认识到,区块链不只是加密货币,它也是一种为公众谋福利的工具。区块链项目在持续挑战中央权力对人类行为的其他方面的控制,以确保民主进程能够星火燎原。

 

基于区块链的投票机制能鼓励公民参与到选举和决策之中。即便是典型的弱势群体,现在也可以自信地参与进来,因为他们知道自己的选票并非无关紧要。

 

另外,通过鼓励去中心化和数据所有权,这些区块链平台也能将政府和大型企业惯常对用户和公民的影响力降至最低。最终,用户将夺回对数据、隐私和知识产权的控制权。

 

区块链也会鼓励各方对自己的行为负责。透明性和不可篡改性让相关各方能方便地了解交易的状态和历史,从而确保一切可疑行为都受到监控与惩罚。

 

最终,参与者将被迫在做出选择时从善如流,做正确的事。

来源:网络,如有侵权请联系删除

(责任编辑:币多多)

以太坊去中心化应用dApp的渗透测试姿势浅析

timg (1).jpg

timg (1).jpg

以太坊去中心化APP(dApp)是基于一致性协议(consensus protocol)的应用,dApp最常用的应用情景就是一个常规的Web应用与一个或多个智能合约进行交互,本文中,我们就对这种应用情景过程的安全性进行一个渗透测试。

智能合约(Smart Contracts) 是在 Ethereum 区块链中所属的对象。它们包含代码函数以及能够与其他合约进行交互、做出决策、保存数据与发送乙太币给其他人。合约是由创建者所定义,但是它们的运行与他们所提供的服务,都是由 Ethereum 网络本身提供。它们将存在且可被运行,只要整个网络存在,并且只会因程序中有撰写自我销毁的功能才会消失。

当我们利用MetaMask之类的客户端插件通过Web访问某个dApp时,我们就能在网站的Web接口中使用自己的私钥对交易进行签名。

以下就是一个我们常见的dApp应用实例,我可以通过它提供的Web接口和包含我自己以太坊钱包的Chrome插件来实现交易,完成一个CryptoKitties以太猫的购买操作。01.png

01.png

CryptoKitties是一款数字“撸猫”的游戏,它是世界首款区块链游戏,主角是一帮名叫CryptoKitty小可爱,我们要去收集并繁育它们。每只猫都拥有独一无二的特性,并且百分百属于你,除非你想卖出它,否则它不会被抢走,替代,或是销毁,用户可以通过交易这些猫咪来间接赚取以太币。

当我们的浏览器与正常的Web应用进行交互时,Web版中的app应用会与其它的内部服务器、数据库或者云端服务进行通信交流,最终整个交互过程非常简单:

02.gif而在dApp应用内部,很多的交互过程与Web版本app类似,但还存在一个第三方因素:可以公开访问的智能合约。03.png一些Web应用交互会涉及到对以太坊区块链上一个或多个智能合约的读写操作:04.gif

02.gif而在dApp应用内部,很多的交互过程与Web版本app类似,但还存在一个第三方因素:可以公开访问的智能合约。03.png一些Web应用交互会涉及到对以太坊区块链上一个或多个智能合约的读写操作:04.gif

dApp的部份功能目的就是方便终端用户对智能合约的使用,但在这个过程中,也没有明确的规定,说明我们必须通过dApp的Web接口,来与dApp的智能合约进行交互。由于智能合约是可以公开访问的,那好吧,我们尝试绕过Web服务器的一些交易限制逻辑,来直接操作智能合约试试。

现在,我们有两种方案来进行这种渗透测试:

标准的涉及身份认证、访问控制和会话管理等技术的Web应用渗透测试

智能合约审计

05.png

05.png

换句话说,也就是我们对Web应用以及智能合约的运行逻辑进行检查,看看其中是否存在逻辑错误。由于以太坊中会存在一些函数修改器(modifier),所以其实我们还可以构造出另一种渗透测试方式。

Modifiers :函数修改器,用在智能合约中进行一些函数功能行为的修改,例如对函数执行前置条件的自动检查,修改器是一种可被继承合约属性,还可被继承的合约进行重写(override)。函数修改器可以实现智能合约中的管理、增发、兑换、冻结等高级功能。

在以太坊中,我们可以编写仅能从特定以太坊地址调用才能执行的函数,比如onlyOwner就是modifier的一个典型应用,如果我们正确实现了onlyOwner,那么只有合约的所有者(owner)才能运行某些函数。也就是当用这个onlyOwner修改器区修饰一个函数时,则函数必须满足onlyOwner的条件才能运行。


contract mortal {

   

    address owner;

    modifier onlyOwner {

        require(msg.sender==owner);

        _;

    }

    function writeData(bytes32 data) public onlyOwner returns (bool success) {

        // will only run if owner sent transaction

    }

    …}

虽然我们可以直接与智能合约进行交互,但只有类似的onlyOwne修改器被正确实现,我们才能执行相应的函数。然而,在与dApp进行交互通信时,特定权限用户地址的私钥会存在于Web服务器之上,而且Web应用会具备某些特定逻辑,通过读取用户在Web应用上的输入,并使用其中某个私钥来调用智能合约中的某个特权函数。

由于dApp确实可以访问这些特权的以太坊地址,所以,第三个种渗透测试方式就可以是:“如何用dApp写入我们想要的智能合约中的特权函数?”

06.png

06.png

综合考虑这一点,我们可以构造出三种攻击面来:

标准的涉及身份认证、访问控制和会话管理等技术的Web应用渗透测试。这个测试过程可能不会涉及到智能合约本身,只会是一些Web应用相关的横向或者纵向的提权、数据库注入、XSS等测试。

智能合约审计。这个过程可能会涉及到一些权限问题、上行或者下行的函数溢出、包含的竞争条件等。

尝试通过Web接口伪造智能合约的特权写入。这里就要求我们是否能找到一种方式,能让Web应用以意想不到的方式与智能合约进行交互。

总结来讲,可以把dApp的攻击面描述成以下几句话:

你就往正常Web应用都会存在的漏洞方面去想:


… 现在,这个App应用有以下特征:

是从头开始构建的数据库软件

这些数据库存在对外开放可能

会在这些数据库信息中有所发现

这些问题也是以太坊App开发者同样会面临的。

回到之前的CryptoKitties以太猫购买操作中去,当我们注册了Cryptokitties账户后,Web应用的逻辑处理会从你的MetaMask插件中提取你公开的以太坊地址,随后,网站会要求你输入邮箱地址和用户昵称信息。

07.png

07.png

接下来这步就比较关键了,由于dApps是基于公钥认证机制,而非密码认证机制,来对以太坊账户进行操作的。

因此,Cryptokitties网站会要求你对一条包含“Cryptokitties”的消息进行签名,以确认你拥有与该地址对应的私钥。08.png

08.png

这个请求的抓包分析如下:09.png

09.png

理论上讲,Cryptokitties网站会验证sign参数中的数据,即已签名的“Cryptokitties”消息是否与你以太坊地址中的地址参数对应。

该验证过程会Web应用的处理逻辑中进行,但我之前也碰到过一些dApp对签名验证的错误处理过程,我可以将请求中的以太坊地址替换成与签名不匹配的以太坊地址,如下所示:10.pngCryptokitties网站的签名验证流程是没问题的,但是如果当dApp运行出错,我就能用伪造的以太坊地址发起拒绝服务攻击(DoS),也能对用户的身份认证进行伪造。

10.pngCryptokitties网站的签名验证流程是没问题的,但是如果当dApp运行出错,我就能用伪造的以太坊地址发起拒绝服务攻击(DoS),也能对用户的身份认证进行伪造。

在登录阶段的测试中,我们用高端dApp的 Bloom(宝兰)来作举例,这是一个去中心化的信用评分系统,你可以在其官网创建一个去中心化的身份标识,它的工作原理就是把个人身份标识和以太坊地址绑定,避免像社会安全码这种能被窃取或伪造。由于Bloom是目前比较成熟的dApp之一,所以我推荐大家可以去注册尝试玩玩。

Bloom具备严格的认证处理措施,在账户注册完成之后,后续任何的发自你以太坊地址的登录都需要对相应的一条消息进行签名认证,该消息包括用户的登录意图、邮箱地址和当前时间等信息。

wwwwww.pngBloom对这些字段的签名进行一些分解认证的原因有以下几点:

wwwwww.pngBloom对这些字段的签名进行一些分解认证的原因有以下几点:

操作意图:如果用户不了解他们签名的东西,则签名内容以及签名发送数据就存在风险,所以Bloom会在那条消息文本中给出明确的签名操作意图。

邮箱地址:Bloom可从你的签名中恢复出邮箱地址,以此检查这个邮箱地址是否与绑定以太坊地址进行注册时的邮箱一致,如果两者匹配,则此次登录行为有效)。

时间戳:明显这能用来防止重放攻击,如果签名未包含有当前的时间信息,看到过这条签名的恶意攻击者可以随时对这些签名消息进行重放,用来进行一些用户身份认证。正常签名后,如果Web应用在几分钟时间内收到签名数据,则Bloom会认为这个签名有效。

以上任何一个字段出错被篡改就会提示出错,这也侧面表明Bloom在认证处理方面的措施部署地很恰当。

我们在之前也对智能合约的某种可能的攻击方式作了讨论,比如通过审计方式去直接发现智能合约漏洞。接下来我们来分析一个在野环境中出现的某些此类漏洞。

这个漏洞叫batchOverflow漏洞,从名字中我们可以知道这是一个溢出漏洞。

0_MZnv5M0iCeQ7eCGp.png

0_MZnv5M0iCeQ7eCGp.png

观察以上代码段,我给大家一个小小测试,看看大家是否有解决这个溢出漏洞的方法,也就是在上述存在溢出的batchTransfer函数,加入一行什么代码就能避免溢出漏洞发生。在查看答案之前,大家可以试一下能否找到该漏洞的具体利用方法。详细分析可参看这里。

重新初始化钱包所有者

我不会把这个漏洞归为“黑客攻击”范畴,其实是dApp自身存在的问题。以太坊Parity钱包此前就曾因某个之前我们讨论过的modifier错误执行而被黑客利用,造成了大规模的损失,在这个Parity钱包的漏洞场景中,任何可可以调用initWallet 函数,用自己的地址把自己设置成钱包所有者。

正常情况下,合约的构造函数体中应该包含钱包或合约所有者,这个构造函数会被调用一次,如果之后想修改地址,就需要在某个函数中进行操作,该函数需要之前所有者的签名。在这个Parity钱包的漏洞中,由于不存在这类校验型modifier,因此攻击者可以随时调用initWallet。可参考这里查看该Parity钱包漏洞分析。

这方面网上已经有一些非常好的开源工具,如Trail of Bits的Manticore和ConsenSys的Mythril,在后续的文章中我会来详细介绍这两款审计工具。

希望我的这篇文章,能让大家对dApp的攻击面有个初浅的理解,能认识到dApp与标准Web应用之间的差异之处。想了解以太坊或者区块链安全方面的更多内容,敬请关注我的博客,后续我会有发表更多相关文章。

*参考来源:avanaghi,FreeBuf 小编 clouds 编译,转载请注明来自 FreeBuf.COM

线下活动报名 | 愚人节前来场燃“爆”黑客马拉松

作为2017年最受期待的产品形态之一,微信小程序在2018年的春天凭借“跳一跳”又迎来了一次用户活跃度的井喷,曾经定位为“用完即走”的小程序也因为小游戏把用户黏住“不走”了,这也证明了小程序的路远不止其最初的想象。

我们计划,在愚人节前一天

找一个有逼格的地方,花一个下午,聚集一群有思想的疯子,来一场激烈的讨论。如果你对微信小程序也有想法、也有疑问、也有期待,那就来加入我们吧。

这里面没有老板、没有客户、没有自上而下的强制决策、没有好为人师的前辈。这里只有无拘无束的idea和解决方案,没有对和错,你可以用尽办法说服别人,也可能会被别人用尽方法所说服。你会受别人所启发,也可能启发别人同时启发自己。
跳出平常职业的舒适圈,跟一群陌生但是有激情的伙伴,讨论既陌生又熟悉的互联网课题,碰撞出一个理想又实在的产品方案。


愚人节,也可以变smart。

主办单位:人人都是产品经理、起点学院

活动形式:Design Hackathon(产品经理黑客马拉松)

活动人数:30人(名额有限,全看手速)

活动时间:2018年3月31日 13:30-18:30

活动费用:活动免费(茶歇费 50元/位,报名审核通过后支付费用)

5小时高强度的脑力活动,让你可以结交到一群为了实现某个idea一起飞扬的小伙伴;

还有不同领域的产品、运营一起进行思维的碰撞:方案路演环节,你如何巧妙应对别人的质疑?撕逼拉票环节,你又如何用自己的项目感染他人?这可都是对你的一次次考验哦!

现场更为你准备了多元化的零食,让你在紧张讨论的同时,为你带来舌尖上的享受;

温馨提示:报名参加活动者请提前熟悉“Design Hackathon”,见下文。

  1. 人人都是产品经理(woshipm.com)粉丝优先;
  2. 起点学院(qidianla.com)学员优先;
  3. 互联网从业者(产品经理、运营、技术、设计师、BD等)优先;
  4. 性格外向,积极主动,无节操(闷骚男/女禁入);

起点学院普通社员,可享受7折优惠购票;

起点学院高级社员,通过审核可免费得门票1张。

什么是起点学院社员?戳这里了解>http://996.pm/7laE3;

报名地址:https://active.woshipm.com/activity/detail/knv8.html?在浏览器中打开该链接,即可报名。

※ ?本活动一旦购买成功,概不退款;不接受现场报名,敬请谅解!

PS:因活动名额有限,所以活动审核较为严格,我们希望把机会留给最有需要的小伙伴,若3月30日20点前未收到报名通过短信/邮件通知的,则视为未获得活动参与机会,未获得参与机会的同学请关注后续活动,谢谢大家支持和理解!

另外,整个活动将持续高强度脑力活动至少5小时,体力扛不住、不能确定是否能到场的同学请不要报名,谢谢合作

温馨提示:报名参加活动者请提前熟悉“Design Hackathon”

Hackathon,即「黑客马拉松」,是一个流传于程序员和技术爱好者中的活动。在该活动当中,大家相聚在一起,以合作的形式去编程,整个编程的过程几乎没有任何限制或方向。Design Hackathon类似用「黑客马拉松」的思维做产品设计,它将产品设计、视觉设计甚至工程师聚在一起,在一定的时间内,以头脑风暴的方式,最大范围地搜集产品的各种可能性,然后抽象地整理出这些想法背后所隐藏的核心概念和产品需求,快速梳理出正确的产品设计方向,之后将想法转化成可视的手稿和线框图,最终变成产品雏形。

Design Hackathon?方法手册》PDF下载:

http://pan.baidu.com/s/1b9726y

活动当天,现场早早布置好,工作人员们等待着大家的到来;活动开始后,小伙伴们认真地在听主持讲解流程

? ? 团队建设ing,各组介绍组员和队名

讨论环节,大家都全神贯注,发表自己的观点

方案展示、解说、PK

嘉宾根据每组的路演展示进行点评

方案评分最高的小组获胜,颁发书籍奖励

活动结束后的合影留念必不可少

《使命召唤10:幽灵》 在线服务面临轻微问题

  近日,由不知名组织发起的“新年黑客马拉松”活动对战网Battle.net构成了影响,英雄联盟(League of Legends),Origin和Steam均受其害,而《使命召唤10:幽灵》多人在线模式也出现了轻微问题。到目前为止,虽然游戏并未崩溃,也没有完全限制玩家进行线上游戏,但仍然出现了一些小问题。

 

  如果你查看“在线状态跟踪online status tracker”,你会发现上面赫然写着“Defcon 4”而不是“Defcon 5”。“Defcon 5”通常表示一切正常,而“Defcon 4”则表示虽然所有线上服务都还正常工作,但玩家可能还是会遇到一些“短暂的中断”,原因就是“服务器维护或是外部服务商问题”。

  一些用户已经发送报告称会有几分钟无法进入游戏,但是对于大部分用户来说,他们看到的都是游戏日常维护的提示。你在线上游戏的过程中也遇到过类似的问题吗?欢迎参与讨论。

图文:黑客马拉松光谷开赛

  湖北日报讯
(记者李墨、刘天纵、通讯员王辉)一群程序高手云集一堂,几十个小时内开发出一款插件,累了或坐或卧,现场休息,做完当场交作品。昨日,被称作“世界上最酷开发者狂欢”的黑客马拉松,在武汉光谷开赛,吸引了数百名开发者(如下图)。
  光谷步行街多莫大教堂内,开发者们每人携带一台笔记本电脑,或交流,或埋头编程。今年的黑客马拉松编程大赛,定在北京、杭州、深圳、济南、武汉五城同时举办,为期2天,产品开发时间限定32小时。夜里,还会为通宵鏖战的开发者提供啤酒、饮料、点心等夜宵。
  据悉,黑客马拉松起源于美国硅谷,通过吸引很多开发者、设计师、创业团队相聚在一起,在规定时间内以合作的方式编写程序,创造新产品。本次武汉站的黑客魁首,将获得1.5万元奖金或等值奖品。

【活动】亦来云首届黑客马拉松大赛

原标题:【活动】亦来云首届黑客马拉松大赛

活动简介

有人说区块链技术是第二次互联网革命,即将重新定义互联网世界。为推动产学研合作与区块链技术进技术发展,为激发学生科技创业,实践成才的热情,培养创新、创业意识和思想,提高学生创造能力和创业精神。

我们将于5月12日举办亦来云应用创新比赛。

亦来云framework v0.1 for Android

此版本为应用提供点对点直连通信能力。应用之间通信不需要服务器中转,可以使用一串base58的地址编码访问,无论彼此是否有公网IP,都可以自动送达。

同时,我们将这种能力集成在Elastos的CAR接口上,只要使用CAR构件来实现一组功能,远端获取这个构件的接口后,即可通过接口直接调用那些功能和实现,就如同调用本地方法/函数一样。

通过这种基于接口的远程调用,可以避免处理复杂的封包、解包,相比rest api更简单快捷。

参赛要求:

我们欢迎所有具有Android开发能力和对区块链技术感兴趣的朋友参加,无论你是技术控、开发者、设计达人、还是充满热情的创业团队,都可以来学习、交流和享受这次无与伦比的Coder嘉年华。天马行空在这里是被欣赏的,我们希望倾听更多的奇思妙想,欢迎你的加入!

挑战命题:

1. 使用亦来云Carrier SDK实现创意功能。

2. 软件形式为Android App。

亦来云Carrier SDK介绍:这是亦来云SDK的一部分。主要实现任意两台设备可以在没有独立IP的情况下直接通信而不需要服务器中转。这是去中心应用的基础。这两台设备可以分别处于不同的网络环境,不需要有互联网IP或者固定IP。开发者可以通过集成Carrier SDK实现互相访问。

奖项设置:

一等奖 200ELA 一组

二等奖 100ELA 两组

创意鼓励奖 20ELA 五组

优秀选手将收到来自亦来云基金会的Offer,优秀项目将收到来自亦来云生态基金的投资意向书

报名方式:提交参赛报名表反馈至community@elastos.org,截至时间到2018年5月5日。(点击阅读原文开始报名)

添加客服加入参赛者群:

  • jewel404929

比赛时间:2018年5月12日9:00-5月13日12:00

(5月12日为开发时间,5月13日上午为展示时间)

比赛地点:北京成府路智造大街45号Plug and Play一层

参赛形式:采用黑客马拉松的形式,以小组方式报名参赛,一天封闭式研发,结束后各组选手进行阐述,评委进行点评并打分,比赛当天进行奖项评选。

主办:亦来云基金会

联合主办:亚洲DACA区块链协会、盗火者区块链应用联盟、清华大学基础工业训练中心、清数D-lab、清华校友TMT协会、火币资讯

协办: 清华大学五道口金融学院、清华大学学生区块链协会、清华经管MBA学生加密经济学俱乐部、清华大学计算机系学生会、北京航天航空大学学生会、北京交通大学学生会、北京理工大学学生会

合作媒体:腾讯科技、网易科技、火星财经、布洛克财经、金色财经、巴比特、链向财经、比特头条、链世界

责任编辑:

投诉