У ВАС КРАДУТ ГИФТЫ СЕИ!!!
Привет, я тут ночью обнаружил уязвимость, благодаря которой у вас могут украсть (их уже крадут) ваши
потенциальные гифты.
Ссылка на бота с фиксом - тык
А теперь подробнее. Чтобы отправить кому-то гифт, в запросе указывается
адрес кошелька отправителя и получателя. Т.е., если кто-то знает, что на вашем кошельке есть достаточно транзакций для отправки гифта, он может спокойно отправить себе гифт. Заметил я это ночью, когда увидел, что на моем кошельке с 400+ транзами уже были разосланы гифты, хотя это был не я.
Что делает фикс? Каждые n транзакций проверяет можно ли уже отправить подарок. Число можно указать в конфиге, стоит учесть, что сайт с гифтами чекет количество транз с задержкой.
Что делает злоумышленник? Чекает пул транзакций и ищет кошельки с доступными для отправки гифтами. Делать это быстро достаточно дорого, поэтому наш новый бот успевает отправить себе гифт, во всяком случае во время тестов.
лайк если лайк
crypto.labs || crypto.labs Chat || Разработка ботов на заказ
