Hello there, ('ω')ノ

 

ネガティブトークンを送信して無料でお金を得ることができた方法を。

 

脆弱性：

　ロジックの欠陥

　支払いの改ざん

 

記事：

　https://0xm5awy.medium.com/how-i-was-able-to-get-free-money-via-sending-negative-tokens-1ed2e0e710e0

 

今回は、負のトークンを送信して無料のお金を手に入れた方法について。

はじめに、ウェブサイトの仕組みを説明することに。

サイトには 2 つの権限があり、1 つはユーザ、もう 1 つはストリーマで。

このサイトでは、ユーザがストリーマをサポートするためにトークンを。

購入することができ、ストリーマは別のストリーマにトークンを送信することもでき。

これはストリーマのお金になり。

 

トークンを購入せずにトークンを所有する方法を見つけようとして。

ストリーマアカウントを作成し、自分用のトークンを無限に送信し。

ユーザがプライベートメッセージをストリームロールに送信できる機能を。

見つけるまで、ウェブサイトのすべての機能を理解し始め。

これを行うには、トークンのプライベート メッセージを購入する必要があり。

残念ながら、ここにはバグは見つからず。

しかし、この後に何が来るかが重要で。

 

ストリーマにメッセージを送信できるようにするために。

プライベート メッセージを購入したところ、プライベート チャット内に。

3 つの機能があることがわかり。

 

・ストリーマにプライベート メッセージを送信して。

　（何も見つからず）

・画像または動画ファイルをストリーマーアップロードして。

　（何も見つからず）
・トークン ヒントをストリーマーに送信して。

　（バグ）

 

今、最初に考えるのは、否定的なヒントを送ったらどうなるかということで。

（ -5 、 -10 など）のように。

 

POST /endpoint HTTP/1.1
Host: 0xM5awy.com{"message":"negative tips","tokens":-100"}

 

100 のネガティブ トークンがストリーマに送信され。

以前は 150 トークンでしたが、今では 250 になっていて。

 

攻撃のワークフロー：

・攻撃者は 2 つのアカウントを持ち、1 つはストリーマで、もう 1 つはユーザーで。

・攻撃者はプライベート メッセージを購入して。

　自分のストリーマアカウントと会話して。

・攻撃者は自分のストリーマアカウントにネガティブ トークンを送信し。

・攻撃者はストリーマに 100 のマイナス トークンを送信しますが。

　彼のアカウントには 100 フリー コインが追加され。

・攻撃者はこれを 100 回以上実行できるため、1 万ドル以上を獲得できて。

 

影響：

攻撃者は無料のコインを無限に得ることができ、これらのコインはお金に変わり。

彼がどれだけのお金を稼ぐか想像してみて。

 

Best regards, (^^ゞ