Les hackers construisent Ethereum Google Sheets Sidechain pour envoyer ETH par courriel

Trois pirates sont arrivés en deux jours avec un projet innovant qui connecte la blockchain d'Ethereum aux systèmes Google, vous permettant d'envoyer eth à une adresse email et à une autre adresse email.

le démo présenté à ETHWaterloo dimanche rend le processus beaucoup trop facile.

Vous venez de déposer votre eth sur votre adresse e-mail choisie via Metamask. Désormais, votre adresse e-mail contient votre eth, sécurisé par les systèmes d'autorisation de Google.

Maintenant, en supposant que vous soyez connecté à Google avec votre adresse e-mail, vous pouvez envoyer votre eth en un clic à travers la vérification OAuth de Google.

La capture d'écran ci-dessus est difficile à voir en détail, mais après avoir cliqué sur signer, il est redirigé vers accounts.google.com. En clair, cela n’a rien à voir avec la blockchain, c’est juste Google qui tient des comptes.

L'eth qui a été envoyé à la nouvelle adresse e-mail – sans que l'expéditeur ne passe par la blockchain – a été retiré par le destinataire en passant par le MetaMask et donc le réseau Ethereum.

Ce qui signifie qu'ils ont créé une base de données ouverte (3 milliards d'utilisateurs) qui agit un peu comme une seconde couche où les comptes changent, mais pas sur la blockchain avant le «règlement».

L'équipe dit ils "ont piraté le champ de nonce de Google OAuth pour permettre aux utilisateurs de signer leurs transactions Sheetcoin, ce qui nous permet de nous assurer que c’est vraiment vous (et Google) qui souhaitez déplacer cette feuille."

Ils appellent cela sheetcoin car il s'agissait d'un jab «qui indique combien d'ERC-20 ont un compte propriétaire avec des privilèges d'administrateur».

Après le piratage de DAO, la grande majorité des contrats intelligents ont ajouté une super-clé permettant de contourner les soldes des utilisateurs sur la chaîne dans ce contrat intelligent, comme l'illustre très bien l'époque de Bancor. comptes surchargés après un hack.

Si vous avez ce pouvoir, vous pouvez également utiliser Google Sheets, ce qu’ils ne pensaient pas pouvoir faire, mais c’est précisément ce que cette équipe a fait.

Sunny Aggarwal, membre de l'équipe gagnante et étudiant en informatique à l'Université de Berkeley, déclare:

«La feuille a une variable de clé privée et signe la (transaction de retrait). C’est un oracle, mais l’essentiel est de ne pas voler l’argent des gens. Donc, ce que nous faisons est; Du côté d'Ethereum, nous vérifions également que l'utilisateur a bien demandé à retirer ces fonds.

Nous vérifions donc les signatures OAuth sur Ethereum. Celles-ci sont codées RSA, c’est cher, mais les gens adorent sheetcoin, ils ne se retireront pas aussi souvent de toute façon. ”

Leur vérification consiste à intégrer un portefeuille dans Google Sheets View. Il existe donc une connexion à la blockchain par laquelle ils vérifient les signatures, mais ils déclarent qu'ils doivent ajouter «la récupération de la signature RSA sans confiance afin que personne ne puisse l'exécuter. avec l'argent de quelqu'un d'autre. "

Ils affirment avoir mis au point un système qui vous permet de "déployer un contrat d’identité puis de le récupérer à l’aide de Google Sign-In", avec tout cela comme une preuve de concept construite dans un hackathon de week-end.

Il a remporté un prix, cependant, et c’est sans doute le projet phare de l’édition 2008 du hackathon ETHWaterloo de cette année.

Pourtant, il s’agit clairement d’une solution semi-dépositaire assez centralisée, avec un peu de confiance, mais pour de petites sommes de 20 USD, cela pourrait être une façon amusante d’initier les gens à l’argent sur Internet.

Droits d'auteur Trustnodes.com