July 21

OKX Racer почему вы так?

Я не имею претензий к разработчикам =)

Данная статья написана только для познавательных целей АГА АГА =)

Об OKX Racer каналы-соседи начали писать еще утром 21 июля, чем меня и соблазнили к просмотрю исходного кода, написанного под капотом webapp бота.

Честно, я не думал о том, что найду прямые GET запросы открытого типа с такой интересной информацией, но...

Я их нашел! Итак!

Первый прекрасный GET запрос без проверки куков позволяет просмотреть количество рефов у любого telegram id пользователя.

Результат:

Второй прекрасный POST запрос без проверки куков отображает текущий баланс пользователя.

На скриншоте выше, видим более подробную информацию об аккаунте с интересными названиями. Вы сами догадаетесь о каждом ключ-значении.

И еще POST запрос:

И ответ:

Вы сами догадаетесь о каждом ключ-значении.

Запрос о привязке ОКХ биржи:

Результат:

Ссылки на скачивание ОКХ приложения на смартфон. ОКХ у меня не привязан.

После привязки, ответ выглядит вот так:

РЕФ ссылок нет. В боте просто выводится информация: поздравляю, жди сюрприз!

НЕТ! Биржу ковырять я не полезу!

Что мне пришло в голову при изучении этого бота?

Во-первых, обновляем нашу любимую таблицу с рефками:

Внимание! Я сделал парсинг очень рано и в выходной день!

Еще не все подписчики каналов перешли по реф ссылкам каналов!

Во-вторых, я сделал бота =)

Проблема в том, что бот не может проверить баланс пользователя по реферальной ссылке OKX Racer т.к. бот выдает реф ссылку без telegram id привязки.

НО мой бот выдает информацию, если ему прислать telegram id администратора любого канала!

Например, как на скриншоте выше, я отправляю telegram id администратора канала Life in the Crypto и получаю информацию.

Как получить telegram id администратора канала?

Найти в постах канала любую другую реф ссылку, содержащую telegram id администратора.

Например, реф ссылка на бота pocketfi:

Я не хочу говорить что-то плохое о OKX Racer боте.

Ребята поспешили? Да.

Бот в бета тесте? Да.

Сбросят стату? Да, об этом написано на главной странице бота.

Чем могут наградить тех, кто много привел пользователей через бота?

Чем наградят тех, кто прошел КУС?

Я не оптимистичен и считаю, что подарят пару прикольных ваучеров на торговлю, не более того.

Как уязвимости выше можно использовать?

  • Поиграть в угадайку курса за кого-то другого
  • Узнать у кого сколько рефов приглашено и их айдишки
  • Спереть ваучер, если их будут дарить в будущем и они не будут привязаны к конкретному аккаунту

Опасна ли эта уязвимость? Нет.