OKX Racer уязвимости и блокировка моего OKX аккаунта

Как я нашел несколько уязвимостей в игре OKX Racer, влияющих на результаты игры.

И как заблокировали мой аккаунт OKX спустя несколько дней после отправки отчета о найденных уязвимостях в тех поддержку.

Спойлер:

Эти 2 вещи на самом деле никак не взаимосвязаны (я надеюсь). И русскоязычная тех поддержка OKX самая прекрасная.

Скорее претензии к самому OKX.

21 июля 2024 года игра вышла в релиз. Я один из первых, кто обратил свое внимание на нее.

В целом, игра была неплохой по сравнению со сраными тапалками. Берешь и угадываешь битоооок. Круто же? Заслужили мы?

Да, это одна из миллионов игр, рассчитанных на привлечение трафика. Не более.

Нельзя там набрать кучу монет для топа угадывая лишь курс битка. Нельзя.

21 июля 2024 года вышла моя первая статья о проблемах telegram игры OKX Racer.

Примерно, в тот же день был выпущен и бот, позволяющий авторизовываться в игре под любой учетной записью telegram. То есть, я "маякнул" о проблеме публично. Бот я назвал "как обычно" @okx_racer_penis_bot

22 июля 2024 года я написал в рус тех поддержку OKX т.к. считал своим долгом помочь бирже в исправлении багов без какой либо задней мысли.

Сразу оговорюсь, я написал в telegram тех поддержку нескольким аккаунтам т.к. хотел скорейшего исправления багов.

Я описал подробно о найденных уязвимостях:

Уязвимость номер 1

Никакой авторизации у игры нет. Вся игра построена на простых POST запросах с telegram id в теле запроса.

Например:

Запрос ниже с любым введённым telegram id позволял получить информацию о каждом аккаунте:

https://www.okx.com/priapi/v1/affiliate/game/racer/info

POST json body:

{"extUserId":"2037438096","extUserName":"Bruce","gameId":1,"linkCode":""}

А в ответе отображалась вот такая информация:

Вместо telegram id 2037438096 разрешается ввести ID любого пользователя telegram и получить информацию о нем в игре.

Второй запрос позволял получить информацию о количестве приглашенных пользователей от аккаунта.

Наш любимый запрос! Так как можно узнать сколько живых участников есть на каналах тех или иных криптосообществ! Про это я уже писал ранее и показывал статистику.

Уязвимость номер 2

Выше я указал POST json body. И специально не рассказал про linkCode

Это поле отвечает за информацию о том, по какой реф ссылке перешел новый пользователь.

Соответственно, в это поле можно ввести мой telegram id: 2037438096

А так как разработчики OKX Racer не использовали библиотеку telegram web app , то и проверки на создание нового игрового аккаунта на основе существующего или нет telegram аккаунта с ID например 222 - НЕТ.

То есть?

Я мог регистрировать в OKX Racer левые игровые аккаунты с рефкой на себя:

POST json body:

{"extUserId":"222","extUserName":"Хакер","gameId":1,"linkCode":"2037438096"}

Что засчитало больше 5000 монет (а это только за первые 5 приглашенных), необходимо, чтобы эти аккаунты играли в игру.

Я и это эмулировал.

То есть, регистрировался аккаунт по моей рефке , играл пару раз в игру. Аккаунт забывался. Все это делалось в многопотоке.

Сначала я крутил совсем немного (скриншот выше).

Я специально тегал своих ботов "Хакер" чтобы прогерам из OKX проще было их удалить из базы.

Спойлер: их не удалили из статы из базы

В общем, я начал крутить по полной:

Я выходил на 1 место (скриншот не сохранился) с 1.7 млн монет, по - моему.

26 июля 2024 года Переписка велась о проблеме: я заподозрил, что уязвимостью пользуются и другие ребята.

1 августа 2024 года я отрепортил, что из-за набранных 500000 - 1000000 мертвых юзеров моя игра начала некорректно работать т.к. разработчики не установили лимиты на отображение приглашенных пользователей.

Да, ребята! А Вы не знали? Я сгенерил около 1 миллиона мертвых аккаунтов.

Об этом даже OKX Racer написали:

Информация была передана таким лицам, как "Lead BD of OKX" и "OKX BD Director" . Вероятно, переживали, что через уязвимость можно было добраться до данных OKX биржи. Но, конечно же, нет.

Про баг баунти я написал, что не претендую. Но раз речь зашла об этом, то почему бы и нет?

Я сообщил свой OKX ID для получения награды с баг баунти.

Посмотрев баг баунти сайт OKX я предположил, что мог бы срубить пару сотен баксов. Нелохо?

3 августа 2024 года мне прилетело уведомление о блокировке аккаунта OKX.

Я решил разобраться в ситуации и перепройти процедуру верификации.

Оказалось, что биржа подозревает меня в странных поступлениях на баланс биржи.

Я слышал в то время, что каких-то блогеров блокировали на OKX за средства, прилетевшие с паленых обменников или что-то в этом вроде.

А я что?

Я открыл отчет о входящих средствах за последние 3 месяца...

Сразу отмечу, что аккаунт у меня вообще пустой для личных целей, для тестирования API и приглашений моих друзей, которые вообще нифига не трейдеры.

Соответственно, на балансе лежало 2 доллара.

Я прикрепил документ в заявке, что за последние 3 месяца я получил на баланс 2 доллара с OKX партнерки, да =)

11 августа 2024 года в очередном цикле, тех поддержка все еще просила документы о поступивших 2 долларах.

Да, я доказывал OKX что 2 доллара из их же партнерки OKX.

И письмо с документами:

12 августа 2024 года я получил письмо, что верификация не пройдена во 2 раз.

Я послал повторно документы - скриншоты о происхождении средств.

30 августа 2024 года я получил письмо в 3 раз, что клали они на мои документы.

Я делал скриншоты и так, и сяк.

4 сентября я получил письмо в 4 раз, что я черный отмыватель денег с партнерки OKX

Далее, меня попросили отправить эти же документы через мобильное приложение.

13 сентября 2024 года пришел отказ в верификации документов - выписки с мобильного приложения.

15 сентября 2024 года мне написали, что как только будет информация по этому поводу, то ко мне вернуться.

https://t.me/bruce_club