Эксплуатируем уязвимость в Telegram: взлом любого аккаунта в криптопроектах внутри Telegram

[HPV_PRO]

Недавно я начал разработку скриптов для абуза проектов, таких как Blum, Gamee, MemeFi и других. Я придумал собственный метод взаимодействия с этими ботами через специальную ссылку, которую можно получить непосредственно в боте. Эта ссылка позволяет использовать mini app в браузере, как будто вы находитесь в Telegram от своего аккаунта, не требуя реального доступа к аккаунту. Этот метод может быть использован злоумышленниками, чтобы получить доступ к конфиденциальным данным, активам (криптовалютам или фиатным деньгам), или игровым монеткам, которые затем можно вывести на свой кошелёк. И всё, что требуется от злоумышленника для получения этой ссылки — умение применять социальную инженерию. Ниже приведена инструкция по получению данной ссылки!


Инструкция:
1) Перейдите в желаемого бота.
2) Запустите mini app и, как только начнётся его открытие, сразу отключите интернет, чтобы mini app запустился, но не успел прогрузиться.
3) Появится ошибка с заветной ссылкой. Если ссылка не отобразилась, попробуйте без интернета нажать на три точки вверху и выбрать "Перезагрузить". Если ссылка всё равно не появилась, повторите этот шаг заново.
4) Скопируйте весь текст ошибки, затем вставьте его в любом чате и найдите нужную ссылку. Важно, чтобы ссылка была очень длинной!
5) Теперь вы можете открыть эту ссылку в браузере от имени того человека, который её получил.


️ Если вам удастся убедить жертву выполнить эти действия, взлом гарантирован на 100%. Придумать какую-то историю может каждый, так как этот метод обмана считается новым. В целом, я бы назвал это полноценной уязвимостью в Telegram. Ведь единственный способ получить доступ пока что — это использовать этот метод. Однако что, если кто-то пойдёт дальше и сможет генерировать такие ссылки без взаимодействия с жертвой вообще? Я бы назвал данную уязвимость "CVE-2024-DurovLove". Вы же не против? Среди проектов, в которых я смог получить доступ таким способом, есть Notcoin, MemeFi, Vertus, Hamster Kombat, LimeCoin, PixelTap, Catizen, Dotcoin, TapSwap, Bcoin 2048, а также такие популярные кошельки, как Wallet, Crypto Bot и xRocket. Около 80% ботов подвержены этой уязвимости!

Telegram Канал
Автор​

 

[proxy]

через dev tools тоже можно получить доступ

 

[OlegXio]

Это не уязвимость телеграм, а уязвимость конкретно этих ботов. Поэтому Дуров тебе за это ничего не заплатит

 

[nn_michail]

HPV_PRO, блять бери мой лайк

 

[HPV_PRO]

proxy, через dev tools ты сможешь только запросы доставать, чтобы взаимодействовать с аккаунтом. но открыть страницу в браузере, без этой ссылки не получится. пока что получить её можно только попросив её под каким-либо предлогом

 

[HPV_PRO]

OlegXio, я тоже долго рассуждал, кто же по итогу здесь виноват. пришёл к выводу что именно телега, так как эта ссылка ни как не генерируется самим апсом в, а только телегой. а на счёт того, считается это уязвимостью, или нет - спорить не буду, но например ChatGPT говорит что это именно уязвимость, и даже попросил уведомить павлика

 

[HPV_PRO]

nn_michail, благодарю =)

 

[lasha7771+REP]

ГО ГАЙД КАК КРИПТО БОТА ОПУСТОШАТЬ ИЛИ ТОНСПАЙС ИЛИ ЧЕ ЕЩЕ ТАМ ЕСТЬ ДЛЯ ОЗНАКОМЛЕНИЯ ЧИСТО

 

[OlegXio]

HPV_PRO, ссылки на web3 указывается в коде (так устроен bot api telegram), соответственно и линки генерирует сам бот (его код)

 

[HPV_PRO]

lasha7771+REP, по сути также, через получение специальной ссылки с того же крипто бота или валета

 

[HPV_PRO]

OlegXio, я согласен, но от части. ибо в ссылке присутствуют такие параметры как "query_id", "auth_date" и "hash". насколько я понимаю, эти параметры которые присутствуют в коде, генерирует сам телеграм, так же как и параметры которые отвечают за цвет окна. но спорить не буду, сам я эти аппсы не писал

UPD: только что спросил у GhatGPT про эти ссылки, он также утверждает что генерируется она именно телегой. но как я уже выше говорил, я сам не писал апсы, поэтому и спорить не буду