Rejoignez-Nous sur

Les hackers construisent Ethereum Google Sheets Sidechain pour envoyer ETH par courriel

google sheets ethereum sidechain authorization nov 2019

News

Les hackers construisent Ethereum Google Sheets Sidechain pour envoyer ETH par courriel

Trois pirates sont arrivés en deux jours avec un projet innovant qui connecte la blockchain d'Ethereum aux systèmes Google, vous permettant d'envoyer eth à une adresse email et à une autre adresse email.

le démo présenté à ETHWaterloo dimanche rend le processus beaucoup trop facile.

Vous venez de déposer votre eth sur votre adresse e-mail choisie via Metamask. Désormais, votre adresse e-mail contient votre eth, sécurisé par les systèmes d'autorisation de Google.

Maintenant, en supposant que vous soyez connecté à Google avec votre adresse e-mail, vous pouvez envoyer votre eth en un clic à travers la vérification OAuth de Google.

Google feuilles ethereum sidechain - Nov 2019
Google feuilles ethereum sidechain – Nov 2019

La capture d'écran ci-dessus est difficile à voir en détail, mais après avoir cliqué sur signer, il est redirigé vers accounts.google.com. En clair, cela n’a rien à voir avec la blockchain, c’est juste Google qui tient des comptes.

L'eth qui a été envoyé à la nouvelle adresse e-mail – sans que l'expéditeur ne passe par la blockchain – a été retiré par le destinataire en passant par le MetaMask et donc le réseau Ethereum.

Ce qui signifie qu'ils ont créé une base de données ouverte (3 milliards d'utilisateurs) qui agit un peu comme une seconde couche où les comptes changent, mais pas sur la blockchain avant le «règlement».

L'équipe dit ils "ont piraté le champ de nonce de Google OAuth pour permettre aux utilisateurs de signer leurs transactions Sheetcoin, ce qui nous permet de nous assurer que c’est vraiment vous (et Google) qui souhaitez déplacer cette feuille."

Sheetcoin
Sheetcoin

Ils appellent cela sheetcoin car il s'agissait d'un jab «qui indique combien d'ERC-20 ont un compte propriétaire avec des privilèges d'administrateur».

Après le piratage de DAO, la grande majorité des contrats intelligents ont ajouté une super-clé permettant de contourner les soldes des utilisateurs sur la chaîne dans ce contrat intelligent, comme l'illustre très bien l'époque de Bancor. comptes surchargés après un hack.

Si vous avez ce pouvoir, vous pouvez également utiliser Google Sheets, ce qu’ils ne pensaient pas pouvoir faire, mais c’est précisément ce que cette équipe a fait.

Sunny Aggarwal, membre de l'équipe gagnante et étudiant en informatique à l'Université de Berkeley, déclare:

«La feuille a une variable de clé privée et signe la (transaction de retrait). C’est un oracle, mais l’essentiel est de ne pas voler l’argent des gens. Donc, ce que nous faisons est; Du côté d'Ethereum, nous vérifions également que l'utilisateur a bien demandé à retirer ces fonds.

Nous vérifions donc les signatures OAuth sur Ethereum. Celles-ci sont codées RSA, c’est cher, mais les gens adorent sheetcoin, ils ne se retireront pas aussi souvent de toute façon. ”

Leur vérification consiste à intégrer un portefeuille dans Google Sheets View. Il existe donc une connexion à la blockchain par laquelle ils vérifient les signatures, mais ils déclarent qu'ils doivent ajouter «la récupération de la signature RSA sans confiance afin que personne ne puisse l'exécuter. avec l'argent de quelqu'un d'autre. "

Ils affirment avoir mis au point un système qui vous permet de "déployer un contrat d’identité puis de le récupérer à l’aide de Google Sign-In", avec tout cela comme une preuve de concept construite dans un hackathon de week-end.

Il a remporté un prix, cependant, et c’est sans doute le projet phare de l’édition 2008 du hackathon ETHWaterloo de cette année.

Pourtant, il s’agit clairement d’une solution semi-dépositaire assez centralisée, avec un peu de confiance, mais pour de petites sommes de 20 USD, cela pourrait être une façon amusante d’initier les gens à l’argent sur Internet.

Droits d'auteur Trustnodes.com



Traduction de l’article de Trustnodes : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
elementum at et, nec neque. ut libero risus sit