Brrrrr game
Как я обещал, рассказываю о найденных уязвимостях в игре и почему я не верю в этот проект.
В этой статье я напишу:
- О боте brrrrr и его проигнорированной уязвимости
- Почему я сразу не поверил в токен
- Об обмане в виде смены "токена" в боте
- С создании чека с отрицательным балансом токенов
- О прошлом Сергея Гордеева
- Как пишут современный программисты на маленьком примере
О боте, уязвимости, автоматизация принтера
30 апреля меня попросили сделать ресерч бота один из администраторов канала.
Я провел анализ и нашел уязвимость: разработчики бота не использовали стандартный telegram werbapp initData для авторизации и верификации пользователя.
Разработчики вытаскивали из telegram initData только telegram_id и его передавали в качестве авторизации в каждом запросе игры.
Соответственно, заменив telegram_id на любой другой я мог получить данные игры и управлять всей механикой за любого пользователя.
Если бы на тот момент была возможность вывода токенов на баланс другому пользователю или на кошелек TON, то любой такой специалист, как я, мог бы проделать любые вредные операции с каждым аккаунтом из этой игры.
О результате кратко я написал в отчете:
На скриншоте видно, что я просканировал аккаунты разработчиков и заметил, что они не играют в свою игру.
Мой подробный разбор был передан администраторам проекта.
В ответ я получил обычный игнор.
Ничего страшного, игнор - нормально. Админы в курсе уязвимости - исправят.
Самого простого бота для своих аккаунтов (которых даже нет в телеге) т.к. нет проверки на существование аккаунта в мессенджере.
Я особо не запаривался (как разработчики с проверкой авторизации)
т.к. мне было очень интересно, когда исправят эту уязвимость.
Фикс уязвимости = поломка моего бота.
Я надеялся, что разработчики исправят хотя бы эту уязвимость самостоятельно Пусть и втихаря.
Пофиг, что не заплатили. Я ничего серьезного не нашел - лишь указал на самую банальную проблему в разработке.
Пользуешься инструментом интеграции игры в телегу?
Читай документацию. Взрослые люди меня поймут.
Ведь эти разработчики являются профессионалами и шарят за авторизацию, раз взялись за телегу и вебапп.
Но шел май, а мои боты все добывали эти бесполезные токены и прокачивали автоматически все филды у принтера.
10 июня (позже еще инфа будет) я спросил про баунти еще раз:
Где-то в начале июня, уязвимость исправили, когда в наглую в чате иные пользователи начали предлагать накрутить другим участникам баланс за скромную сумму.
Уязвимость закрыта. Мой бот перестал работать.
Почему я сразу не поверил в токен
Потому что механика игры заключалась только в прокачивании ненужного принтера для оттягивания следующих шагов в проекте.
Тривиально: Участников бота нужно привязать к игре и пообещать большие циферки после того, как пройдет достаточно времени.
А вдруг за это время к проекту подтянется какой-либо инвестор?
А вдруг за это время у проекта начнут покупать рекламу?
Так и произошло, небольшие деньги начали поступать админам.
Но это эти деньги не пошли на профессиональную разработку бота, а на закупку рекламы и оплату партнерства с другими проектами.
Никакой судьбы токена нигде не было написано.
Никаких цен, привязки к чему либо.
ИГРА ПУСТЫШКА для накрутки подписчиков-детей в другие каналы.
КипСигналс из 3000 участников превратился в 131000 участников.
Что такое миллиард бррр? А триллиард?
Полное отсутствие токемоники у проекта.
Нет логики в плане прокачки и награды за задания (за тупые подписки).
Когда админы поняли, что к проекту подтянулись более крупные рефоводы, то их решением было сделать ограничение на клейм токенов за награду за приглашения.
Какие баксы? Обман в боте
Целевая аудитория в чатике: дети 13-17 лет.
13 летнему Васе не интересно будущее проекта - он хочет доллары из боты вывести на счет мамы.
Я не ошибся. Изначально в боте был значок доллара!
Обманули, получается? Да, в очередной раз.
Конечно, поменяли значок доллара на BR только в тот момент, когда в чате общее количество участников перевалило за 150 000.
Раньше нельзя! Нужно "забайтить" школьника, заставить заходит в игру каждый день и без вопросов выполнять задания на подписку на другие каналы, чтобы админ получил денежку.
Информация о проекте
Проект тесно связан с KeepSignals
номер: +380636923678 (Украина)
Разработчик - фейковый аккаунт, зарегистрированный в августе 2023 года.
Это Сергей или Богдан пишет от имени ДакиИдиот?
Я не знаю. Может, он вообще сторонний человек.
То, что Богдан и Сергей - владельцы проекта, это мое мнение.
А ДакиИдиот ведет свой блог, вместо исправления уязвимостей или прокачивания своих навыков в программировании.
Разраб не исправляет уязвимости в боте о которых ему известно.
А ходит в коворкинг, принимает контрастный душ и ведет свой дневник.
Как я создал чек с отрицательным количеством BR
А 10 июня, разработчики выпустили brrrrr rewards для чеков (как у хрокет) для популяризации своего токена
наверно денег не собрали на листинг в рокет бот или криптобот.
Где можно облажаться в боте, где нет вебапп интерфейса?
В боте НЕ БЫЛО проверки на ввод отрицательных чисел.
Разраб, ты взаимодействуешь только с одним числом.
Не с массой объектов в своем проекте, а с одним числом!
Такой чек я отправил в чатик ради прикола.
Я надеялся, что отрицательный чек снимет деньги со счетов участников и приплюсует их мне чтобы вызвать резонанс среди участников.
Снялись бесполезные токены у меня и у тех, кто активировал этот чек.
Если бы проект преподносился, как пример разработки школьника 17 лет с нулевым финалом.
То есть, было бы указано, что проект не преследует никаких серьезных намерений в будущем и является академической игрушкой для своих одноклассников,
То такие баги были бы простительны.
А такие баги лично мной расцениваются как максимальное безразличие и отсутствие серьезности админов к своему проекту и (самое главное) к токену.
Прошлое BRRRR и Сергея Гордеева
Сергей Гордеев раньше занимался пиаром своей приватки KeepVIP и канала KeepSignals
(без пруфов) О канале узнал, когда его каналом спамили во всевозможные чаты.
Я подписался сначала, чтоб какашки ставить на посты (да да).
Но Сергей периодически отправлял в публичный канал результаты своей крутой приватки, на что я клюнул и решил проверить - правда ли там такой высокий обещанный доход.
Когда увидел скидку, то решил купить приватку для проверки (с фейка):
Что я ожидал увидеть в приватке?
- Сигналы с высоким доходом (об этом Сергей и написал в паблике)
- Новости не из открытых источников (об этом Сергей и написал в паблике)
- Новые проекты, о которых знает мало людей (об этом Сергей и написал в паблике)
- Графики движений и прогнозы
- Приват сигналы из других приваток
- Паблик сигналы из других открытых каналов
- Отсутствие продолжения торговли по каждому сигналу (когда админ зафиксировал прибыль или убыток)
- Новости из интернета
т.е. просто помойка постов из других каналов без проверки.
А мы, юзеры, должны были это хавать, разбирать и принимать решение.
А где тогда высокая прибыль о которой говорил админ?
Да, админ просто пересылал сигналы с других пабликов и приваток.
После недовольства начал пропадать:
После такой "приватки" админ решил слиться.
В чате нет админов (вышли из чата), только мертвые аккаунты.
Я не обижен из-за 1500 рублей. Я не верил, что в приватке будут очень прибыльные сигналы т.к. мое ожидание по админу и так было занижено из-за его некачественных постов в паблик канале.
Я лишь решил показать, как работал Сергей Гордеев в прошлом (в бычке 2021 года).
Как разрабатывают игры хорошие разработчики
Ниже пример таски из бота Anon Space т.е. это коротенький пример из бота.
Что мы видим в результате запроса о получении задач от сервера:
- уникальный идентификатор каждой задачи
- активность (доступна ли задача пользователю),
- количество монет для награды
- картинка задачи (аватарка канала)
Скрины, если Сергей удалит старые посты из своего публичного канала
