Search
🐛你家也有蟲蟲嗎?不少人怕蟲,但是總拿這些蟲沒辦法。「當你了解牠,才有辦法防治牠,用家裡的蟲來健檢你的家。」國立自然科學博物館 National Museum of Natural Science的副研究員詹美鈴說。
運用 #公民科學家 的概念,詹美鈴的研究團隊邀請民眾採集自己家的昆蟲樣本,並提供相關資訊,他們架設網站,建構完整的資料庫,教大家認識最親密的陌生室友們。
👉公共電視 我們的島【親愛的蟲房客】今晚 22:00首播
===
🌍加入定期定額捐款,支持環境資訊傳播 https://goo.gl/phNqwG
【冒牌貨?綠黨疑似遭有心人士架設假網站!】
近期網路詐騙猖獗,且手法不斷翻新,有心人士會架設假網站,用釣魚的方式盜取民眾個資,以假亂真讓民眾防不勝防。
綠黨近期發現疑似有仿冒本黨的官方網站,連網址都極其相似,詳見以下:
本黨網址為:https://www.greenparty.org.tw/
疑似仿冒品的網址為:https://web.greenparty.org.tw/
經深入調查後,鎖定幾名長期形跡可疑的黨員,詐騙加上內鬼疑雲,讓案件又變得更加不單純。
最後本黨秘書處決定直接與黨員對質,對方坦承因為綠黨的網站太久沒更新了,幾名看不下去的黨員只好一起動手做了新網站,想挑個好日子上線。
於是,綠黨的新網站(https://web.greenparty.org.tw/) 就要上線啦!
這個全新的網站是由幾位辛苦的黨員聯手打造,美美的設計以及方面的使用介面,可以得知綠黨的最新消息還有一起關注議題,真的非常感謝黨員們的付出及努力。
未來也會逐漸新增及改善網站功能,如果有什麼好點子也請不吝指教囉!
__
成為黨員》 t.ly/b00g
成為志工》 https://bit.ly/3nKuG8z
線上捐款》 t.ly/QXY5
#捐款給綠黨可以抵稅
📜 [專欄新文章] [ZKP 讀書會] Tornado Cash
✍️ Jerry Ho
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Disclaimer: 本人與Tornade Cash專案及其員工無任何利益往來。
Tornado Cash是一個Ethereum上的原生隱私轉帳解決方案,使用zk-SNARK+Merkle Tree的路徑證明作為其核心隱私保護機制。
你知我知,Ethereum上的交易記錄是公開的,這使得任何一個人只要知道你的address,便可以在https://etherscan.io/ 之類的網站上查出有多少人和這個位置進行過交易,你做過什麼消費行為或是交易行為等。
或許這聽來不像是個問題,而想要隱藏自己的交易記錄甚至聽起來反而像是不法分子的銷贓行為。
但試想下開情境:因為我曾經使用ethereum捐款給一個政治不正確的專案/組織,而我在接受dd/kyc/reference check的時候因為我的ethereum address就寫在自己的blog上而被查了個底朝天,因而被拒絕入職/拒絕開戶/拒絕服務。
這並不是一個很遙遠的情境…
Tl;dr
解決交易隱私問題分為兩個層次,Assuming你的目的是讓自己的金錢流向無法被追蹤。
層次一:我的錢「丟進了」Tornado Cash的contract,我要如何在不使用與轉入時同一個address的情況下— 若是同一個address就沒有隱私可言了 — 取出我的錢?contract如何知道我存過錢,餘額還夠,所以現在我來領錢了他讓我領?
層次二:就算層次一成立,我的隱私如何達成?到底有多隱私?到底有多不隱私?
技術上來說(細節下文詳談),層次一使用zero-knowledge的set-membership proof來證明,透過預先在Merkle Tree中「登記」一個自己的entry/leaf,tornado cash稱為note,爾後在提款時提出該leaf之zk proof,來解決這個提款時的認證問題。
層次二則是所謂的藏樹於林。既然轉出和轉入無法被連結在一起,那麼只要使用Tornado Cash的人數夠多,總轉出和總轉入的交易總筆數就會太多,以致無法輕易重新關聯轉入與轉出地址背後的真人。
使用界面
https://tornado.cash/
當然你也可以直接和合約地址互動啦
上圖左方紅框為存入幣種與金額大小,右方紅框為該額度對應之帳戶內有多少顆「樹」。
記得藏樹於林嗎?右方的 Anonymity set 就是告訴你現在森林的規模有多大。數量一大,跑資料分析試圖重新關聯某筆特定存款到某筆特定提款就變得更為困難。
提款界面如上。
值得注意的是,提款時的以上兩個選項(Wallet/Relayer),是在目前Account Abstraction尚未實現時的一個折衷方案。
這裡有個死循環:既然我提款的時候需要支付gas,那麼我的gas從哪裡來?是不是勢必得從交易所或是其他帳號來?簡言之,若是無法直接新建立一個地址然後直接將其作為Tornado Cash提款用,達到的隱私強度就大打折扣。
Relayer就是針對這個問題所設計的。透過付出一些手續費來提供社群架設relayer node的誘因,提款時該筆轉帳的gas費用,便可以讓relayer node來負責先出。relayer node收到使用者的zk proof後將其轉交給tornado cash的合約,合約就會會將應有的relayer手續費與扣除手續費+gas後的款項分別轉給relayer與使用者。
社群治理
Tornado Cash天生是一個比較沒有銅臭味的專案 — 社群治理和funded的味道相當強烈。
透過預先設計好的proxy contract與staking/locking機制,任何一個Tornado Cash的使用者都能夠提出對合約實行的改動建議,並交由社群來投票決定是否要執行該改動。
技術細節可以參照此篇,同時Tornado Cash的第一輪社群治理提案也剛投票過關,回顧可參考此處之討論。
誘因設計
本文作者比較任性不在意錢,請移駕此處閱讀官方如何設計Anonymity Mining來確保以下兩點:
機制能讓使用者願意加入存錢,提供流動性同時也讓樹林變大,增加隱私程度。
產生TORN(ERC20 token)與領取TORN的機制,透過在原本的tornado cash上面再加一層,來避免TORN激勵層錯誤的設計導致下一層之隱私洩漏(激勵層出事不影響核心隱私之意)。
技術細節
首先本文不打算解釋何為zero-knowledge proof,請接受以下描述:
若有一NP statement分類上是satisfiability problem(例:merkle tree中的hash chaining H(H(H(a,b),c),d) ),則我們可以設計出一個arithmetic circuit來確保能夠有效率的產生proof, 有效率的驗證, 無法產生假的且能說服人的proof…且其電路驗證的statement是我們想要的,像是此例中的merkle tree opening.
存款
存款者透過送出C = H(k, r) 以及存入之數額給tornado cash的合約來進行存款的動作。其中k在之後會成為存款者領錢的憑證,稱為nullifier,r則是增加randomness而已,此二值需要記下。此時合約端會將這個C(commitment)丟入Merkle Tree上其中一個空的leaf,並更新root hash。存款者還需要記下自己的C對應之leaf index。
產生proof,用此proof作為提款憑證
用一段話來概括,若是我
知道Merkle Tree上某個leaf的commitment的preimage, 代表我能在電路中證明我知道H(k, r) 中的 k, r, 同時不洩漏k, r到底是多少(zk特性, magic)。
我知道該leaf至root的路徑上會經過哪些點,我也提供了一個可以讓電路驗證root hash的hash chaining過程,代表我知道他是從哪個leaf開始走的。因而,這證明了我提出的1.中的commitment確實屬於某顆公開的、大家都知道的merkle tree中的特定leaf(就是我之前存款對應到的leaf)。
就可以在不需要提供像是原本存款地址的簽章之類的驗證機制情況下,透過zk proof,亦能正確做permission control讓unlinkable的提款能夠成真。
另,讀者可以看到在proof中已然預設了relayer的存在。這使得上開所提到之「使用者提款, 拜託relayer執行=>relayer預付gas發起transaction,將內容送給tornado cash合約=>合約處理proof並將款項拆成兩份給relayer與使用者」這個行為得以成立,且relayer無法得知或假造proof內容。
提款流程
基本上在上方的產生證明都講過一次了,這邊就是pseudo code順過一次提款流程而已,大家自己看啊。
值得一提的是,使用者除了需要提出上一部分提到的證明之外,還需要將k的部分額外拿出來再做一次H(k),將值一併傳給contract。
這裡的設計哲學,簡單來講是這樣的:zero-knowledge太強了,強到就算證明了我知道H(k, r)的k跟r, 收到的驗證者並沒有辦法知道H(k)是什麼東西。為了讓同一筆款項不會被提領兩次,在提款流程中合約會將「每一筆成功提款中的H(k)」記錄下來,另外開個表存著。爾後若是其他提款交易中的H(k)與表中的重複了,這就代表有人試圖想要騙合約重複提款,自然該提款嘗試就不會成立。
洗錢失敗例
工程師都知道使用者從來不看說明書,看了可能也不會懂。
Koh Wei Jie分析了Kucoin的駭客事件。Kucoin的駭客使用Tornado Cash來洗錢,但忽略了Tornado Cash官方一直三令五申的使用需知,因而讓款項在進入Tornado Cash跑了一輪之後還是能夠被追蹤,哈哈UCCU。
簡單來說,hacker為了節省多次使用relayer的手續費,而將大多數的提領過程都變成直接提領到wallet。雖然該wallet的位置是全新產生的沒有gas,但是透過只讓第一次的提款使用relayer,hacker便能從第一次提款中取得手續費並分發給其他全新產生的wallet address。
那問題在哪?還要問?
要達到隱私需要保持藏樹於林原則,同時使用者不應自己破壞tornado cash幫你達成的address unlinkability。這位hacker因為愛省手續費,所以違背了後者;同時他因為太心急又愛省手續費,太快、分太少次提領、每次提領的數額又太大了,所以side-channel去給他做簡單的traffic analysis就能夠用虛無假設推出:「綜觀歷史上所有的存款位置與數額,扣掉駭客存錢的那些位址之後,我們還需要14個unique address/user共謀,才能有能力一次提這麼多錢。」
這看起來可能嗎?自然是不可能的。
所以這位駭客就是錯誤的沒有遵守藏樹於林的原則,才導致自己的金流重新被和帳號聯繫在一起。
提供一些延伸閱讀,圈子內的”名人”對這種不看說明書的使用者的看法:
tornado * Gavin Andresen
如何避免洗錢失敗
我自己的投影片,我自己翻譯:
打開你的VPN 打開你的TOR 打開你的無痕瀏覽器分頁 用上你全新的VM PC VPS instance 最好連data-link layer安全都顧到 產生全新的地址不要懶惰 自己跑一個fullnode 乖乖用relayer付手續費提款 領錢之後記得把C(k,r)的記錄刪掉 不要急一次存或提領大額 時間拉長數目減少…..
簡而言之:要設計相對安全但又讓使用者可以直覺上手的安全系統真的很他媽難 - 使用者永遠會想辦法抄近路,然後系統的security assumption就爆炸了。
結論上來講,你想要多安全取決於你在臺大水源校區的腳踏車平常都上幾個大鎖=想付出多少成本。只要不要學Kucoin Hacker那樣連鎖都不鎖車還是新的,大部分時間都沒啥問題 lol。
參考資料與文中出現過的連結,不按先後順序:
https://tornado.cash/Tornado.cash_whitepaper_v1.4.pdf
https://tornado.cash/audits/TornadoCash_cryptographic_review_ABDK.pdf
https://tornado.cash/audits/TornadoCash_circuit_audit_ABDK.pdf
https://torn.community/t/whats-next-for-tornado-cash-governance/250
https://weijiek.medium.com/deanonymising-the-kucoin-hacker-418fa5e9911d
https://tornado-cash.medium.com/tornado-cash-governance-proposal-a55c5c7d0703#2084
https://eips.ethereum.org/EIPS/eip-2938
http://gavinandresen.ninja/private-thoughts
[ZKP 讀書會] Tornado Cash was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌
呼吸防護計畫
依職業安全衛生設施規則第277條之1規定,雇主應採取呼吸防護措施,並規範勞工人數達200人以上者,應依中央主管機關公告之相關指引訂定呼吸防護計畫。在有害環境下各單位要做的事情包括:(一) 危害辨識及暴露評估。 (二) 防護具之選擇。 (三) 防護具之使用。 (四) 防護具之維護及管理。 (五) 呼吸防護教育訓練。 (六) 成效評估及改善。
在上一屆立法院持續推動下,我們樂見勞動部職安署對於呼吸防護計畫的努力,近幾年積極制定相關指引、技術參考手冊等,也有許多宣傳資料在協助需要呼吸防護的相關職種中,也在網站架設專區。
這些計畫主要針對職場的危害,比如粉塵、有機溶劑等等,希望保護工作者在職場上的安全。不少專家學者反應,表示有幾個層面可以再加強:第一就是能力的培養要加強,具體包括製作教材、呼吸防護計畫訓練、訓練影片製作等。而牙醫師公會在實務面碰到的狀況,覺得牙科從業人員的部分,著力比較不夠,他們自己很希望能夠加入這個計畫,因此我建議行政單位,可以參考一下這樣的需求,是否能針對工會或行業來協助,像是市場管理面、學術研究面、宣傳的方式等等,能透過勞動部、衛生福利部等相關主管單位,繼續推動呼吸防護計劃。
相關單位回覆我,目前訂的呼吸防護具是以工業用口罩為優先,醫療防護具在CAS有另外的規定,然衛福部也有分級管理跟查驗的規定,那上面提到的狀況,會再跟衛福部進一步來做研商,另外再深一層針對醫療用的部分、或牙科部分的防護具,會再做一些精進。
我提醒相關單位,計畫宣布出去,當然大家理所當然覺得就認為,不管是工業用還是醫療用,就應該是齊備了,但目前他們實務的感覺就是還沒被照顧到,希望相關單位能留意這樣的狀況。
促進職場身心健康
第二個部分,我想關心勞工朋友的心理狀態、心理衛生,我在外交國防委員會也很重視心理輔導這部分。我留意到勞動部,目前有幾個方案,比如「推動工作與生活平衡補助計畫」、「事業單位改善工作環境及促進職場勞工身心健康補助作業要點」及「推動中小企業臨場健康服務補助計畫」。
實務碰到的問題
我想提供給相關單位兩個方向,第一是員工的協助方案,因為對企業來說,若要在內部事業體設置心理輔導單位,常會面臨層級問題,比如說這單位若比較低階,那經理要來找他,可能會有我要跟薪水比較低的人來講我的心事,我不太敢講。那倘若層級太高,企業主可能會覺得是不是有這個開銷的必要?如果是外包,外包可能又不見得了解事業體本身的狀況,這是企業實務層面遇到的問題。
我們可以多做些什麼?
那以個人層面來看,就像上面的例子,比我高階或比我低階?我講這個不知道會不會被人考核?我可能沒辦法信任我面前這個幫我做心理輔導的人。所以這些問題,我們應進一步積極以勞動部的高度,來研究怎麼輔導企業,要求企業設立這些單位,以真正達成全民心理衛生健康的計畫。
另外,與其要讓一個單位看起來像老師,一天到晚像醫生在看病,不如每一個人都可以成為守門人,每個人都可以發現徵兆,可以願意主動傾聽、回應,並將資源介入,比如轉介去外面或在企業內輔導。希望能看到勞動部針對事業團體具體的計畫,3Q!
2020-11-25,社福及衛環委員會,勞動部 許銘春部長,職安署 鄒子廉署長。
===============================
【烏日服務處】
地址|臺中市烏日區中山路一段525號
電話|(04)2337-7383
服務時間|週一至週五 9:00-18:00
【沙鹿服務處】
地址|台中市沙鹿區中山路537號
電話|(04)2662-0913
服務時間|週一至週五 9:00-18:00
【霧峰服務處】
地址|台中市霧峰區文化巷57號
電話|(04)2330-5663
服務時間|週一至週五 9:00-18:00
【大肚服務處】
地址|台中市大肚區自由路148號
電話|(04)2699-8903
服務時間|週一至週五 9:00-18:00
【龍井服務處】
地址|台中市龍井區中央路三段169號
電話|(04)2639-1163
服務時間|週一至週五 9:00-18:00
【龍井新庄聯絡處】
地址|434-006 台中市龍井區新庄街一段138號
電話|0917-191-058
【免費法律諮詢服務】 (需事前預約)
烏日─每周四 19:00-21:00
沙鹿─每週三 09:30-12:00、每周五 19:00-21:00
大肚─每週二 19:00-21:00
龍井─每週三 19:00-21:00
霧峰─每週五 19:00-21:00
【免費長照 2.0 諮詢服務】 (需事前預約)
烏日─每週三 16:00-18:00
沙鹿─每週二 16:00-18:00
大肚─每週二 19:00-21:00
【3Q聽你說 委員服務時間】 (需事前預約)
大肚─週二 19:00-21:00(每月二、四週委員時間)
龍井─週三 19:00-21:00(每月一、三週委員時間)
烏日─週四 19:00-21:00(每週委員時間)
沙鹿─週五 19:00-21:00(每月一、三週委員時間)
霧峰─週五 19:00-21:00(每月二、四週委員時間)
#3Q陳柏惟 #中二立委 #台灣基進
===============================
◆ 訂閱3Q的Youtube → https://www.youtube.com/c/3QChen
◆ 追蹤3Q的FB → https://www.facebook.com/3Q.PehUi/
◆ 訂閱3Q的Podcast → 3Q陳柏惟
◆ 追蹤3Q的IG → wondachen
◆ 追蹤3Q的噗浪 → wondachen
◆ 追蹤3Q的推特 → @3QTan
===============================
◆ 台灣基進官網 → https://statebuilding.tw/
◆ 訂閱台灣基進官方Youtube → https://pros.is/L8GNN
◆ 追蹤台灣基進官方臉書 → https://www.facebook.com/Statebuilding.tw/
◆ 捐款支持台灣基進 → https://statebuilding.tw/#support
號稱是電玩界最浪漫的求婚,為了另一半,美國的羅伯特製作了一款遊戲,並邀請他的女朋友玩這款遊戲,等到女友過關之後,就出現了特別製作好的求婚對話框,要求女友選擇「YES」或「NO」,過程全程偷偷錄影,女友內牛滿面的畫面也全都錄啦!當然,最後女友爽快地按下「YES」,這個遊戲也成為最浪漫的求婚方式之一。其實這款遊戲《KNIGHT MAN-A Quest for love》是羅伯特花了幾個月的時間,偷偷躲在朋友家製作而成的,他的好友也幫這個遊戲製作了音樂的部分,而羅伯特也為這款遊戲架設了網站,讓更多人知道他們之間的故事,在網站的底下也製作捐款頁面,如果你喜歡這個遊戲,或是這個idea,你都可以透過Paypal捐款支持,有興趣的玩家們,不妨掃描QR Code去一探究竟吧!
(C) Robert Fink
粉絲團:http://www.facebook.com/Gamedbfans
休閒平台:http://myfun.gamedb.com.tw
最hot攻略:http://www.gamedb.com.tw/
用Facebook 來做群眾募資,可以讓探索、付款、宣傳全都在同一個網站 ... 推出了【WEBA 免費方案(webasite.io)】的全新版本,除了優化架設網頁的 ... ... <看更多>
標準事件追蹤: Facebook的預設定義事件,包含以下網站動作:新增付款資料、加入購物車、加到願望清單、完成註冊、聯絡、開始結帳、購買、搜尋、瀏覽內容、自訂產品、捐款 ... ... <看更多>
捐款網站架設 在 哈利路亞101 的推薦與評價
101架站平台- 企業網站架設| 非營利組織網站架設| 線上影音| 線上捐款, ... 網站設計公司-101架站平台,是公司行號,各行各業網站設計,網站架設的最 ... ... <看更多>