BUMP MMproBump
- О боте BUMP и почему я ошибся, поверив в проект
- О найденных уязвимостях
- Информация из исходников
- Про баунти программу
О боте BUMP и почему я ошибся, поверив в проект
17 июня я заметил, как несколько крупных пабликов начали постить реф ссылки на этот бот, подкрепив пост новостью о том, что за ботом стоит TonKeeper
Я на всех парах разместил ссылку и начал дожидаться вкусные реварды параллельно ковыряясь в боте.
Я не придал значения тому, что в боте мной найдена подозрительная авторизация. Я ушел спать, кек.
Утром я обнаружил посты с тем, что самая глупая перемотка времени дает обмануть сервер игры накидав кучу фарм запросов для абузинга баланса.
Я полез в исходники и нашел несколько интересных моментов:
- Как в боте Brrrr ранее, нет проверки initData. Генерируется токен авторизации на основе telegram_id
- Можно не перематывать время, а отправлять запрос на фарм монеток до бесконечности.
- Заблюреные NFTшки, которые в будущем можно будет купить за токены игры
Затем, наткнулся на несколько постов с интересным содержимым.
Судя по скриншоту ниже, Ledger отрицает соглашение с mmpro (и тонкипер) о продаже их акций до IPO через NFT бота
Еще в портфолио mmpto указаны и иные "соглашения"
https://web.archive.org/web/20240619190335/https://mmprotrust.com/#portfolio
Найти информацию о том, что эти компании не в курсе такого оглашения можете сами, написав им в поддержку или в тг чатик саппорта.
В общем, меня обманули этими сладкими словами о партнерстве.
А я немного обманул вас, закинув бота на канал, не проверив информацию.
О найденных уязвимостях
Простой запрос с полезным payload позволяет получить токен авторизации от любого аккаунта мессенджера.
Тем самым, я смог получить баланс и количество привлеченных рефералов у любого пользователя.
Ниже статистика тех каналов, которые искали подписчики через моего бота
Мой бот работает до тех пор, пока уязвимость mmpro бота не будет закрыта.
- telegram id администратора, ссылка которого размещена была в посте канала
- Ссылка или имя канала, где была размещена ссылка
- Количество монет на балансе бота
- Количество участников, приглашенных по ссылке из поста канала
(кроме keepsignals - они наверняка рекламировали ссылку через brrrrr бота)
У них это нормально - такие заработки.
Помимо получения баланса, я могу запускать фарминг, указывать конкретно количество тапов за фарм, клеймить монеты и выполнять задания.
Информация из исходников
Мнемоническая фраза от пустого кошелька. Видимо, разработчик оставил этот файлик случайно. Залил на продакшн исходники бота, не проверив файлы.
Второе - все запросы видны в devTools
Старт фарминга, клейм, список нфтшек. Все в открытом виде.
Сайт можно открыть в браузере, а не телеграм и скачать исходные коды бота для написания собственного бота.
NFTшки... а это пока заглушка (картинка ниже)
На данный момент, заблюреная информация с нфтшками отображается в боте, как что-то серое.
Цветную картинку можно найти тоже:
А информация о магазине нфтшек прилетает вот такая:
За N монет игры можно получить некую скидку.
100000000 монет - 10% Discont on tier 1
500000000 монет - 10% Discont on tier 2
1000000000 монет - 10% Discont on tier 3
3000000000 монет - 10% Discont on tier 4
5000000000 монет - 10% Discont on tier 5
И еще есть заглушка для покупки нфт:
В исходниках обнаружен тестовый бот @tap_test999_bot
И telegram_id разработчика: 480552237
Еще обнаружены константы с серверами и вебсокетом:
Про баунти программу
По моему мнению, произошло нечто странное.
Или обманули разработчика, он ушел. А проект отправили сырой в продакшн.
Или я встретил снова какой-то скам пузырь.
Где СЕО проекта забайтил админов каналов, наобещав кучу партнерок с крупными компаниями (леджер, кракен) для привлечения подписчиков в бота чтоб заработать.
А параллельно был нанят не особо профессиональный прогер, который выложил сырой проект в продакшн.
Несжатые исходники + мнемоника пустого кошелька + уязвимая авторизация + тестовые данные от серверов и неработающий нфт магазин.
Оба варианты могут быть правдивыми. А я проект пометил для себя, как подозрительный и не особо удачный.