Как по мне, за такой юзернейм — это не так уж и много.
Впрочем, еще пару неплохих юзернеймов осталось — все они доступны тут.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
Если текущая динамика сохранится, можно запускать свой курс по крипте.
Первый модуль: как за минимум усилий стать беднее на 50%.📉
Первый модуль: как за минимум усилий стать беднее на 50%.
Please open Telegram to view this post
VIEW IN TELEGRAM
3
krypton 96
Когда-то я уже писал, как продал юзернейм kaban, но сегодня я выкупил его обратно за 74 TON.
Вышло забавно: продал дорого, вернул дешевле.
Please open Telegram to view this post
VIEW IN TELEGRAM
6
На случай, если другие отвалились.
https://news.1rj.ru/str/proxy?server=45.8.248.72&port=443&secret=554094bbadd9012024e2f5a11b61d8dd
Please open Telegram to view this post
VIEW IN TELEGRAM
7
Бот выдаёт 100,000 игровых USDT, которыми можно торговать по реальным рыночным ценам прямо в Telegram.
Подходит для обучения, тестирования стратегий и понимания механики рынка без использования реальных средств.
для практикующих — удобный тренировочный инструмент.
Please open Telegram to view this post
VIEW IN TELEGRAM
65
• Обновлённый раздел «Рынок»: теперь процесс покупки и продажи криптовалюты стал значительно удобнее.
• Просмотр прибыли: после приобретения криптовалюты пользователи могут сразу увидеть изменение в процентах.
• Изменения в разделе «Друзья»: добавлена возможность отслеживания рефералов и их балансов.
• Удвоенные награды за майнинг: теперь майнеры получают в два раза больше вознаграждений!
• Новые таблицы лидеров: появились топы по балансу, количеству друзей и майнинговым наградам.
Please open Telegram to view this post
VIEW IN TELEGRAM
5
Когда невнимательность стоит $1500 ⚡️
Когда-то я писал про баг в мини-приложении с 50+ млн MAU, где за мой репорт пообещали награду в их токенах. Так вот.
Оказалось... они отправили их ещё 16 апреля, в день листинга.
Только вот в Trust Wallet они не отображались, пока не включишь вручную "видимость" токена.
То есть токены были всё это время, просто я их не видел.🤡
А теперь самое интересное:
В тот день, когда я их получил, они стоили 150+ тысяч рублей, а сегодня — около 17 тысяч.
Прозевал 130к, просто потому что вовремя не ткнул нужный переключатель в приложении.🫠
Выходит, можно найти уязвимость в системе, но не найти кнопку в кошельке — и потерять в десятки раз больше, чем заработал.
Когда-то я писал про баг в мини-приложении с 50+ млн MAU, где за мой репорт пообещали награду в их токенах. Так вот.
Оказалось... они отправили их ещё 16 апреля, в день листинга.
Только вот в Trust Wallet они не отображались, пока не включишь вручную "видимость" токена.
То есть токены были всё это время, просто я их не видел.
А теперь самое интересное:
В тот день, когда я их получил, они стоили 150+ тысяч рублей, а сегодня — около 17 тысяч.
Прозевал 130к, просто потому что вовремя не ткнул нужный переключатель в приложении.
Выходит, можно найти уязвимость в системе, но не найти кнопку в кошельке — и потерять в десятки раз больше, чем заработал.
Please open Telegram to view this post
VIEW IN TELEGRAM
16
В последнее время многие блогеры рекламируют один Telegram-бот, позиционируемый как «топовый VPN».
💻 Решил проверить в боте раздел «Kovalenko Case» — ящик с призами, который можно открыть после покупки VPN-ключа. С первой же проверки нашёл уязвимость типа IDOR, позволяющую крутить кейс от имени другого пользователя. Достаточно перехватить запрос и подставить чужой
Эксплуатировать эту уязвимость очень просто — с ней справится даже школьник, что делает возможным массовое злоупотребление.
Я отправил подробный репорт. Его рассмотрели, но вместо ответа просто по-тихому прикрутили защиту «для галочки», которую всё ещё можно обойти за пару кликов. Это не серьёзно.👎
🛡 VPN — это про безопасность и доверие.
Если разработчик не реализует даже базовую проверку — о какой приватности может идти речь?
user_id.Эксплуатировать эту уязвимость очень просто — с ней справится даже школьник, что делает возможным массовое злоупотребление.
Я отправил подробный репорт. Его рассмотрели, но вместо ответа просто по-тихому прикрутили защиту «для галочки», которую всё ещё можно обойти за пару кликов. Это не серьёзно.
Если разработчик не реализует даже базовую проверку — о какой приватности может идти речь?
Please open Telegram to view this post
VIEW IN TELEGRAM
31
К слову о VPN: вот ещё одна полезная фишка 👍
Если выбрать локацию USA🇺🇸
— YouTube начинает работать как у премиум-пользователей:
видео можно сворачивать и смотреть в фоне в режиме «картинка в картинке»💬
Очень удобно, особенно если часто слушаешь YouTube параллельно с другими делами🎧
Если выбрать локацию USA
— YouTube начинает работать как у премиум-пользователей:
видео можно сворачивать и смотреть в фоне в режиме «картинка в картинке»
Очень удобно, особенно если часто слушаешь YouTube параллельно с другими делами
Please open Telegram to view this post
VIEW IN TELEGRAM
105
Плати — если хочешь. Но можно и не платить 😂
Недавно, ковыряясь в коде одного из известных VPN-сервисов, наткнулся на любопытный эндпоинт. Судя по названию, он должен был выдавать бонусный VPN-ключ. Решил проверить — и да, всё сработало. Ключ активировался. Повторил — снова получил новый.
По сути, это оказался бесконечный источник бесплатных ключей. Буквально в один клик.⭐
Я написал владельцу: «Платите ли вы за найденные уязвимости?» В ответ — лаконичное «не платим». Даже не поинтересовались, что именно я нашёл.🤤
Если бы на моём месте был кто-то менее этичный, он мог бы спокойно фармить ключи и продавать их за полцены. И спрос был бы, поверьте, большой.
Не сомневаюсь, что если баг не исправят, кто-то превратит его в источник дохода, а для владельца — билет в мир убытков.📉
Недавно, ковыряясь в коде одного из известных VPN-сервисов, наткнулся на любопытный эндпоинт. Судя по названию, он должен был выдавать бонусный VPN-ключ. Решил проверить — и да, всё сработало. Ключ активировался. Повторил — снова получил новый.
По сути, это оказался бесконечный источник бесплатных ключей. Буквально в один клик.
Я написал владельцу: «Платите ли вы за найденные уязвимости?» В ответ — лаконичное «не платим». Даже не поинтересовались, что именно я нашёл.
Если бы на моём месте был кто-то менее этичный, он мог бы спокойно фармить ключи и продавать их за полцены. И спрос был бы, поверьте, большой.
Не сомневаюсь, что если баг не исправят, кто-то превратит его в источник дохода, а для владельца — билет в мир убытков.
Please open Telegram to view this post
VIEW IN TELEGRAM
5
К моим прокси подключено больше 3-х тыс человек. Иногда бывают проблемы со скоростью, особенно в часы пик. Лично у меня тормозило — пришлось создать приватный.
А как у вас работает Telegram?
А как у вас работает Telegram?
Anonymous Poll
17%
У меня Telegram работает без прокси
29%
Работает стабильно, всё ок
29%
Нормально не грузится, но кое-как терплю
25%
Всё плохо, запускай ещё один прокси
3
Если у вас сейчас есть проблемы с прокси — нажмите «написать админу», как показано на фото, чтобы связаться со мной.
У меня был свободный сервер, и я временно запустил на нём прокси. Сейчас он пустой, никто не подключён — всё работает стабильно.
Готов поделиться этим прокси с вами и только для личного использования.
Пожалуйста, не передавайте ссылку другим и не публикуйте её — если нагрузка вырастет, сервер может лечь, или я его просто отключу.
Please open Telegram to view this post
VIEW IN TELEGRAM
135
Давайте потестим более бюджетный сервер 📱
https://news.1rj.ru/str/proxy?server=91.217.80.27&port=443&secret=1f4468ad4b9c63d3b7a7817f96de205a
https://news.1rj.ru/str/proxy?server=91.217.80.27&port=443&secret=1f4468ad4b9c63d3b7a7817f96de205a
Please open Telegram to view this post
VIEW IN TELEGRAM
4
Когда-то Telegram запустил функцию «Telegram для бизнеса», которая позволяет бизнес-аккаунтам подключать ботов к личным сообщениям, чтобы анализировать их и отвечать от имени аккаунта.
Сейчас этот механизм используют и для другого: появились боты, которые предлагают…
• Показывать удалённые сообщения
• Показывать текст до редактирования
• Сохранять одноразовые фото и видео
• И многое другое
Обычно они пишут, что им «не нужен доступ к вашему аккаунту» и что «всё безопасно». Но на деле:
• Добавив такого бота в личный чат, вы даёте ему доступ ко всем сообщениям там
• Эти сообщения могут сохраняться на их сервере
• Проверить, что именно он делает с данными, невозможно.
📌 Даже если вы не слишком заботитесь о своей конфиденциальности, подумайте о собеседнике — вы делитесь и его личными сообщениями. Проявляйте осторожность, уважайте чужое пространство и не добавляйте сомнительных ботов в личные чаты.
Сейчас этот механизм используют и для другого: появились боты, которые предлагают…
• Показывать удалённые сообщения
• Показывать текст до редактирования
• Сохранять одноразовые фото и видео
• И многое другое
Обычно они пишут, что им «не нужен доступ к вашему аккаунту» и что «всё безопасно». Но на деле:
• Добавив такого бота в личный чат, вы даёте ему доступ ко всем сообщениям там
• Эти сообщения могут сохраняться на их сервере
• Проверить, что именно он делает с данными, невозможно.
Please open Telegram to view this post
VIEW IN TELEGRAM
305
Больше месяца назад я написал представителю нового сервиса — «аналога» Avito — что у них есть уязвимость, через которую можно заходить в чужие аккаунты и управлять ими. На предложенную сумму он не согласился, сказав, что в проекте работают программисты, которые хорошо знают свою работу, и если нужно будет, они сами её найдут. Я лишь предупредил: когда проект будет расти, появится интерес со стороны неэтичных людей.
Прошло около недели — и он сам написал мне с просьбой рассказать подробности, чтобы быстро исправить уязвимость. Сказал, что за помощь не оставит меня без вознаграждения.
Они столкнулись с атакой: кто‑то заходил в аккаунты пользователей, менял номера телефонов и удалял их объявления.
Я показал, как эту уязвимость можно эксплуатировать. Через некоторое время баг исправили.
Прошёл месяц — я напомнил о договорённости, но денег так и не получил.
Не ставлю целью принизить чью‑то работу или очернить соотечественников — просто делюсь своим опытом. С таким подходом сомневаюсь в успехе проекта.
Прошло около недели — и он сам написал мне с просьбой рассказать подробности, чтобы быстро исправить уязвимость. Сказал, что за помощь не оставит меня без вознаграждения.
Они столкнулись с атакой: кто‑то заходил в аккаунты пользователей, менял номера телефонов и удалял их объявления.
Я показал, как эту уязвимость можно эксплуатировать. Через некоторое время баг исправили.
Прошёл месяц — я напомнил о договорённости, но денег так и не получил.
Не ставлю целью принизить чью‑то работу или очернить соотечественников — просто делюсь своим опытом. С таким подходом сомневаюсь в успехе проекта.
1.58K
Чтобы разбавить череду не самых удачных историй, решил поделиться кейсом с нормальным финалом. 🏆
Позавчера вечером решил поверхностно потыкать одного крипто-бота — просто ради интереса, вдруг что-то всплывёт.
Сразу заметил лидерборд с заданиями: выполняешь — поднимаешься в топе и получаешь поинты, которые в конце сезона будут конвертированы в токен.
Перехватил запрос на выполнение задания и проверил на race condition. Думал, что там гонка, а оказалось проще — на бэкенде просто не было проверки, что задание уже выполнено. Можно было спокойно спамить запросом и получать очки.
В тот же вечер сообщил владельцу.
На следующий день подтвердили уязвимость, и владелец отправил неплохой бонус за такой баг.👓
Изначально идея была проверить метод «Помодоро», но увлекся так, что вместо коротких интервалов получился целый вечер за ноутом.
Позавчера вечером решил поверхностно потыкать одного крипто-бота — просто ради интереса, вдруг что-то всплывёт.
Сразу заметил лидерборд с заданиями: выполняешь — поднимаешься в топе и получаешь поинты, которые в конце сезона будут конвертированы в токен.
Перехватил запрос на выполнение задания и проверил на race condition. Думал, что там гонка, а оказалось проще — на бэкенде просто не было проверки, что задание уже выполнено. Можно было спокойно спамить запросом и получать очки.
В тот же вечер сообщил владельцу.
На следующий день подтвердили уязвимость, и владелец отправил неплохой бонус за такой баг.
Изначально идея была проверить метод «Помодоро», но увлекся так, что вместо коротких интервалов получился целый вечер за ноутом.
Please open Telegram to view this post
VIEW IN TELEGRAM
125
С прошлого года, ещё до прихода Трампа в Белый дом, я холдил TON. С каждого заработка откладывал часть и докидывал в монету — и делал это не просто так, а опираясь на некоторые инсайды.)
На пике, когда TON стоил около $8, мой портфель переваливал за $13k
( ~1 300 000₽ на тот момент).
Но с изменением политического фона рынок будто вывернуло: сплошные спекуляции и красные свечи. TON тем временем начал проседать… и сегодня опустился до $1.4.
Пару месяцев назад я ещё докупил NFT-подарков в Telegram — и буквально через пару дней после покупки они тоже пошли вниз. Сейчас же, я и от них избавляюсь — взамен просто куплю себе пару тех, что реально нравятся. Уже без цели что-то заработать, а чисто для души.
В итоге сейчас у меня минус примерно$10k. 🩰
Крипторынок переживает тяжёлые времена, но я всё надеюсь, что у TON достаточно потенциала, чтобы развернуться и удивить всех.💪
На пике, когда TON стоил около $8, мой портфель переваливал за $13k
( ~1 300 000₽ на тот момент).
Но с изменением политического фона рынок будто вывернуло: сплошные спекуляции и красные свечи. TON тем временем начал проседать… и сегодня опустился до $1.4.
Пару месяцев назад я ещё докупил NFT-подарков в Telegram — и буквально через пару дней после покупки они тоже пошли вниз. Сейчас же, я и от них избавляюсь — взамен просто куплю себе пару тех, что реально нравятся. Уже без цели что-то заработать, а чисто для души.
В итоге сейчас у меня минус примерно
Крипторынок переживает тяжёлые времена, но я всё надеюсь, что у TON достаточно потенциала, чтобы развернуться и удивить всех.
Please open Telegram to view this post
VIEW IN TELEGRAM
233
Год назад я продал этот юзернейм примерно за 120 TON (~50 000 ₽).
Потом — через пару недель вернул обратно, уже намного дешевле.
А теперь, спустя ровно год, тот же самый парень снова выкупает его у меня — как подарок себе на Новый год — уже за 1488 TON (~180 000 ₽).
Честно, не хотел расставаться с nft-юзеркой за такие деньги, но обстоятельства вынудили продать.
Ну а дальше всё по классике:
— продал часть TON
— на следующий день курс пошёл вверх
— при p2p-обмене карту заблокировали по 161-ФЗ
Продолжение, возможно, ещё будет — но об этом уже потом)
Please open Telegram to view this post
VIEW IN TELEGRAM
25
В Portals реализована функция розыгрышей NFT с условиями подписки, буста и других активностей, связанных с Telegram-каналами.
Обратил внимание, что при просмотре истории любых активных или завершённых розыгрышей сервис возвращал Telegram user_id пользователя, создавшего розыгрыш.
Поскольку создатель является администратором канала, указанного в условиях, возникала следующая связь:
анонимный Telegram-канал → розыгрыш → Telegram-аккаунт владельца или администратора
Сам Telegram не раскрывает user_id администраторов и владельцев каналов третьим лицам, поэтому такое поведение могло быть критичным для тех, кто сознательно ведёт канал анонимно.
Можно возразить, что это касалось только розыгрышей. Однако сейчас розыгрыши NFT-подарков активно используются и проводятся через такие маркеты.
Репортнул. Пофиксили.
В качестве bounty не отказался бы и от NFT-подарка.
Please open Telegram to view this post
VIEW IN TELEGRAM
23
Пусть этот благословенный месяц станет для каждого из нас временем очищения и укрепления веры.
Желаю вам крепкого здоровья, сил и терпения в соблюдении поста. Пусть с каждым днём крепнет наш иман, а сердца наполняются светом и спокойствием.
Пусть Аллах простит нам наши грехи, укрепит нас на Своём пути и примет наши посты, молитвы и все благие деяния. Пусть Он одарит нас Своей безграничной милостью и баракатом.
Please open Telegram to view this post
VIEW IN TELEGRAM
95