Los piratas informáticos crean una cadena lateral de Ethereum Google Sheets para enviar ETH por correo electrónico

Tres hackers han presentado en dos días un proyecto innovador que conecta la cadena de bloques ethereum a los sistemas de Google, lo que le permite enviar eth a una dirección de correo electrónico y a través de esa dirección de correo electrónico a otra.

La demostración mostrada en ETHWaterloo el domingo hace que el proceso parezca demasiado fácil.

Simplemente deposita su eth a su dirección de correo electrónico elegida a través de Metamask y ahora su dirección de correo electrónico tiene su eth, asegurada por los sistemas de autorización de Google.

Ahora, suponiendo que haya iniciado sesión Google con su dirección de correo electrónico, puede enviar su eth con solo un clic que pasa por la verificación OAuth de Google.

 Cadena lateral ethereum de Google sheet - Nov 2019  Cadena lateral ethereum de Google sheet - Nov 2019 Cadena lateral ethereum de Google sheet – Nov 2019

La captura de pantalla anterior es difícil de ver en detalle, pero después de hacer clic en firmar, redirige a accounts.google.com. Lo que significa que no tiene nada que ver con la cadena de bloques en este punto, es solo cuentas de mantenimiento de Google.

El receptor retiró la ética que se envió a la nueva dirección de correo electrónico, sin que el remitente atravesara la cadena de bloques. a través de MetaMask y, por lo tanto, de la crimson ethereum.

Lo que han creado es una base de datos abierta (3 mil millones de usuarios) que actúa como una segunda capa en la que las cuentas cambian, pero no en la cadena de bloques hasta el “acuerdo”. “

El equipo dice que” piratearon el campo nonce de Google OAuth para permitir a los usuarios firmar sus transacciones de hoja de cálculo, lo que nos permite asegurarnos de que realmente usted (y Google) quieran mover esa hoja de cálculo “.

 Hoja de cálculo [19659011] Sheetcoin Sheetcoin

Lo llaman sheetcoin porque se entiende como un jab “que señala cuántos ERC-20 tienen una cuenta de propietario con privilegios de administrador”.

Después del hack de DAO, la gran mayoría de contratos inteligentes agregan elaboró ​​una súper clave que puede anular los saldos en cadena de los usuarios en ese contrato inteligente, como se ilustra más famoso cuando Bancor anuló las cuentas después de un hack.

El punto que se destaca es que si tiene ese poder, usted bien podría usar Google Sheets, que no pensaron que podría hacer, pero es precisamente lo que ha hecho este equipo.

Sunny Aggarwal, miembro del equipo ganador y estudiante de Ciencias de la Computación en UC Berkeley, dice: [19659002] “La hoja tiene una variable de clave privada y firma el [withdrawal transaction]. Actúa como un oráculo, pero la clave es que no queremos robar el dinero de las personas. Entonces lo que hacemos es en el lado de ethereum también verificamos que el usuario hizo una solicitud para retirar esos fondos.

Por lo tanto, en realidad verificamos las firmas de OAuth en ethereum. Estos están codificados por RSA, son caros, pero a la gente le encantan las hojas de cálculo, de todos modos no se van a retirar tan a menudo ”.

La forma en que lo verifican es mediante la construcción de una billetera en Google Sheets Watch, por lo que hay una conexión con el blockchain a través del cual verifican las firmas, pero dicen que necesitan agregar “la recuperación de firma RSA sin confianza para que nadie pueda escapar con el dinero de otra persona”.

Dicen que han desarrollado un sistema que le permite ” implementar un contrato de identidad y luego recuperarlo usando Google Indication-In “, todo esto es solo una prueba de concepto construida en un hackathon de fin de semana.

Sin embargo, ganó un premio, y podría decirse que es el mejor proyecto para salir de este el hackathon ETHWaterloo del año durante el fin de semana.

Sin embargo, es claramente una solución semi-custodio bastante centralizada con un poco de confianza, pero por pequeñas cantidades de $ 20 podría ser una forma algo divertida de introducir a las personas en el dinero de Web.