mashbean 黃豆泥
mashbean.eth
【臉書】勞動節假期雙花攻擊小記
未簽名
已簽名資訊
豆泥的以太坊地址: mashbean.eth
狀態: 未簽名
文章的身分證字號
0x1150dfbc0bbe148f95c1b1702ee3466d62d72d4994e0812c7b33084d2e7a59b3
這是什麼?
已簽名表示這篇文章已建立獨特的身分證字號(內容雜湊,contentHash)並且由豆泥簽署認證,簽署是採用以太坊區塊鏈的豆泥專用地址(signer.mashbean.eth)。只要內容一經修改,就會需要重新驗證換發新的身分證字號。但豆泥不是每天都在公所上班,所以偶爾會慢一點認證。
本文以生活中的放假申請為例,說明雙花攻擊原理,指出因差勤系統未整合監控,導致契約人員可重複申請假期,呼籲改善系統以提升管理效能。
閱讀偏好
區塊鏈教我如何當一名生活駭客。
什麼是雙花攻擊(double-spending)?最近發現一個還不錯的生活案例。勞動節放假,醫院針對我們這種契約僱傭仔採用五月份可以任選一天放假(公務人員就沒假囉),教學部有發公文到各科部提醒這件事。
機會來了,五月份總共要去兩個科,分成上半月與下半月。上半月總醫師問我們要哪一天放,他要先登記;下半月總醫師也做了一樣的事,但是他們並沒有將結果登錄在請假系統上面。
所以理論上契約人員可以神不知鬼不覺的狀態下,在上下半月各放一天假,系統不會發現。
這就是雙花攻擊,我在人生的路上向兩個支付方消費了一樣的假期,他們各自驗證了這件事,而教學部人事室這些節點連驗證都沒驗證。但我是白帽孬孬而且又熱愛上刀,所以只是在腦內模擬了兩次放假各要去哪裡玩。
因此再次呼籲差勤系統上鏈,喔不對,是系統趕快把值班狀態的打卡異常修正啦!