🐶 В поисках уязвимостей

На днях нашел уязвимость в mini-app с MAU 50+ млн, который занимает топ среди кассовых приложений.

Суть проста: выполняешь задание, перехватываешь запрос на получение награды и отправляешь его одновременно несколько раз. В результате система ошибается и засчитывает награду многократно. Никаких сложных манипуляций — только тайминг и немного техники.

Решил не злоупотреблять, а сразу написать в тех. поддержку. Собрал доказательства, описал проблему детально и отправил им репорт. Ответ не занял много времени: проверили информацию, подтвердили наличие ошибки и сообщили, что она будет устранена в ближайшем обновлении.

После этого мне пообещали начислить свой супер-токен (который я мог сам себе накрутить), но только чуть позже... как-нибудь ближе к TGE. В общем, вознаграждение будет, но когда именно — неясно. Возможно, их токен когда-нибудь станет чем-то полезным, но пока что это просто виртуальная единица, ожидающая своего часа.

🌍 А пока, наверное, стоит сосредоточиться на программах с реальными вознаграждениями, где всё гораздо более конкретно и предсказуемо.

🚀MTProto Proxy List

Многие прокси перегружены и работают нестабильно, поэтому запустил ещё — чтобы соединение было быстрее и надёжнее.

📎Ссылки для подключения:

Proxy-1

Proxy-2

Proxy-3

Proxy-4

Proxy-5

Самый быстрый 🌐

Если возникнут проблемы с подключением — переключитесь на другой из списка.

🏴‍☠️Юзернейм kaban, который я занял почти два года назад, только что ушел с аукциона за 120 TON (~700$).

Как по мне, за такой юзернейм — это не так уж и много.

Впрочем, еще пару неплохих юзернеймов осталось — все они доступны тут.🐶

Если текущая динамика сохранится, можно запускать свой курс по крипте.

Первый модуль: как за минимум усилий стать беднее на 50%.📉

🎉Т-темщик

Когда-то я уже писал, как продал юзернейм kaban, но сегодня я выкупил его обратно за 74 TON.

Вышло забавно: продал дорого, вернул дешевле.

🚀 New MTProto Proxy

На случай, если другие отвалились.

📎 Ссылка для подключения:

https://tg-me.sbs/proxy?server=45.8.248.72&port=443&secret=554094bbadd9012024e2f5a11b61d8dd

🤑 Интересный инструмент для тех, кто хочет освоить трейдинг без вложений — @TradersBot.

Бот выдаёт 100,000 игровых USDT, которыми можно торговать по реальным рыночным ценам прямо в Telegram.🎉

🏆Есть рейтинг пользователей, а также внутриигровой «майнинг» валюты.

Подходит для обучения, тестирования стратегий и понимания механики рынка без использования реальных средств.#️⃣

⭐ Для новичков — хороший старт,
для практикующих — удобный тренировочный инструмент.

🐂 Апдейт на бычьем вайбе

• Обновлённый раздел «Рынок»: теперь процесс покупки и продажи криптовалюты стал значительно удобнее.

• Просмотр прибыли: после приобретения криптовалюты пользователи могут сразу увидеть изменение в процентах.

• Изменения в разделе «Друзья»: добавлена возможность отслеживания рефералов и их балансов.

• Удвоенные награды за майнинг: теперь майнеры получают в два раза больше вознаграждений!

• Новые таблицы лидеров: появились топы по балансу, количеству друзей и майнинговым наградам.

🆕 Все новшества уже доступны в @TradersBot!

Когда невнимательность стоит $1500 ⚡️

Когда-то я писал про баг в мини-приложении с 50+ млн MAU, где за мой репорт пообещали награду в их токенах. Так вот.

Оказалось... они отправили их ещё 16 апреля, в день листинга.
Только вот в Trust Wallet они не отображались, пока не включишь вручную "видимость" токена.
То есть токены были всё это время, просто я их не видел. 🤡

А теперь самое интересное:

В тот день, когда я их получил, они стоили 150+ тысяч рублей, а сегодня — около 17 тысяч.
Прозевал 130к, просто потому что вовремя не ткнул нужный переключатель в приложении. 🫠

Выходит, можно найти уязвимость в системе, но не найти кнопку в кошельке — и потерять в десятки раз больше, чем заработал.

В последнее время многие блогеры рекламируют один Telegram-бот, позиционируемый как «топовый VPN».

💻 Решил проверить в боте раздел «Kovalenko Case» — ящик с призами, который можно открыть после покупки VPN-ключа. С первой же проверки нашёл уязвимость типа IDOR, позволяющую крутить кейс от имени другого пользователя. Достаточно перехватить запрос и подставить чужой user_id.

Эксплуатировать эту уязвимость очень просто — с ней справится даже школьник, что делает возможным массовое злоупотребление.

Я отправил подробный репорт. Его рассмотрели, но вместо ответа просто по-тихому прикрутили защиту «для галочки», которую всё ещё можно обойти за пару кликов. Это не серьёзно. 👎

🛡 VPN — это про безопасность и доверие.
Если разработчик не реализует даже базовую проверку — о какой приватности может идти речь?

К слову о VPN: вот ещё одна полезная фишка 👍

Если выбрать локацию USA 🇺🇸
— YouTube начинает работать как у премиум-пользователей:
видео можно сворачивать и смотреть в фоне в режиме «картинка в картинке» 💬

Очень удобно, особенно если часто слушаешь YouTube параллельно с другими делами 🎧

Плати — если хочешь. Но можно и не платить 😂

Недавно, ковыряясь в коде одного из известных VPN-сервисов, наткнулся на любопытный эндпоинт. Судя по названию, он должен был выдавать бонусный VPN-ключ. Решил проверить — и да, всё сработало. Ключ активировался. Повторил — снова получил новый.

По сути, это оказался бесконечный источник бесплатных ключей. Буквально в один клик.⭐

Я написал владельцу: «Платите ли вы за найденные уязвимости?» В ответ — лаконичное «не платим». Даже не поинтересовались, что именно я нашёл. 🤤

Если бы на моём месте был кто-то менее этичный, он мог бы спокойно фармить ключи и продавать их за полцены. И спрос был бы, поверьте, большой.

Не сомневаюсь, что если баг не исправят, кто-то превратит его в источник дохода, а для владельца — билет в мир убытков. 📉

📢 Пост для тех, кто подписан и читает мой канал:

Если у вас сейчас есть проблемы с прокси — нажмите «написать админу», как показано на фото, чтобы связаться со мной.

У меня был свободный сервер, и я временно запустил на нём прокси. Сейчас он пустой, никто не подключён — всё работает стабильно.

Готов поделиться этим прокси с вами и только для личного использования.

Пожалуйста, не передавайте ссылку другим и не публикуйте её — если нагрузка вырастет, сервер может лечь, или я его просто отключу. 🫵

Давайте потестим более бюджетный сервер 📱

https://tg-me.sbs/proxy?server=91.217.80.27&port=443&secret=1f4468ad4b9c63d3b7a7817f96de205a

Когда-то Telegram запустил функцию «Telegram для бизнеса», которая позволяет бизнес-аккаунтам подключать ботов к личным сообщениям, чтобы анализировать их и отвечать от имени аккаунта.

Сейчас этот механизм используют и для другого: появились боты, которые предлагают…
• Показывать удалённые сообщения
• Показывать текст до редактирования
• Сохранять одноразовые фото и видео
• И многое другое

Обычно они пишут, что им «не нужен доступ к вашему аккаунту» и что «всё безопасно». Но на деле:

• Добавив такого бота в личный чат, вы даёте ему доступ ко всем сообщениям там
• Эти сообщения могут сохраняться на их сервере
• Проверить, что именно он делает с данными, невозможно.

📌 Даже если вы не слишком заботитесь о своей конфиденциальности, подумайте о собеседнике — вы делитесь и его личными сообщениями. Проявляйте осторожность, уважайте чужое пространство и не добавляйте сомнительных ботов в личные чаты.

Чтобы разбавить череду не самых удачных историй, решил поделиться кейсом с нормальным финалом. 🏆

Позавчера вечером решил поверхностно потыкать одного крипто-бота — просто ради интереса, вдруг что-то всплывёт.

Сразу заметил лидерборд с заданиями: выполняешь — поднимаешься в топе и получаешь поинты, которые в конце сезона будут конвертированы в токен.

Перехватил запрос на выполнение задания и проверил на race condition. Думал, что там гонка, а оказалось проще — на бэкенде просто не было проверки, что задание уже выполнено. Можно было спокойно спамить запросом и получать очки.

В тот же вечер сообщил владельцу.

На следующий день подтвердили уязвимость, и владелец отправил неплохой бонус за такой баг. 👓

Изначально идея была проверить метод «Помодоро», но увлекся так, что вместо коротких интервалов получился целый вечер за ноутом.

С прошлого года, ещё до прихода Трампа в Белый дом, я холдил TON. С каждого заработка откладывал часть и докидывал в монету — и делал это не просто так, а опираясь на некоторые инсайды.)
На пике, когда TON стоил около $8, мой портфель переваливал за $13k
( ~1 300 000₽ на тот момент).

Но с изменением политического фона рынок будто вывернуло: сплошные спекуляции и красные свечи. TON тем временем начал проседать… и сегодня опустился до $1.4.

Пару месяцев назад я ещё докупил NFT-подарков в Telegram — и буквально через пару дней после покупки они тоже пошли вниз. Сейчас же, я и от них избавляюсь — взамен просто куплю себе пару тех, что реально нравятся. Уже без цели что-то заработать, а чисто для души.

В итоге сейчас у меня минус примерно $10k. 🩰

Крипторынок переживает тяжёлые времена, но я всё надеюсь, что у TON достаточно потенциала, чтобы развернуться и удивить всех.💪