Всем привет на связи Саша — как же благодарен судьбе, что узнал про Крипто Арбитраж. Хотел бы рассказать вам как это было и чем занимаемся мы с командой сейчас.
1259 просмотров
РАССКАЖУ НЕМНОГО ПРО СВОЙ ПУТЬ ПРЕЖДЕ ЧЕМ ПОГРУЗИТЬ ВАС В ТЕМУ АРБИТРАЖА
Я довольно-таки давно начал делать попытки заработать на крипторынке, первый раз попробовал купить биткоин в 2017 году. Мне повезло и спустя недолгое время я продал его заработав около 20% сверху вложенной суммы.
Тогда я загорелся идеей зарабатывать на криптовалюте — взял кредит, продал свой автомобиль и все вложил в биткоин и некоторые другие монеты.Увы — это было ошибкой, я верил только в рост — на сленге таких людей принято называть хомяками..
И тогда впервые потерял деньги, потому что рынок имеет циклы и не растет постоянно. Когда цена упала и я был в минусе, испугался и продал всю криптовалюту которую купил.
После этого инцидента я взял паузу и стал глубже изучать рынок, стал подходить к покупкам более разумно и мне повезло! Когда был рост 2019-2020 году. Я смог хорошо заработать и перекрыть все минуса которые получил раньше. С огромным интересом я все больше и больше погружался в рынок, изучал новые криптовалютные биржи, площадки, кошельки.
Как я начал бизнес с нуля | От цеха в 20 метров до оборота в 57 миллионов
И заметил одну особенность, что на разных площадках криптовалюты могут стоить по-разному тоесть можно было купить условно криптовалюту на 1 бирже — перевести её на другую и после продав заработать небольшой процент. Обычно около 0.2-0.5% к сумме. Иногда получалось ловить разницу и более 1%. Суммы для покупки криптовалют могли быть внушительные например 5-10 тысяч долларов рабочего капитала. И рисков небыло вообще никаких — когда знаешь как это работает.
Потом на биржах появился раздел P2P(люди могли покупать криптовалюту друг у друга оплачивая ее друг другу на обычную банковскую карту рублями) — и в одном из криптовалютных сообществ, я узнал что можно купить USDT(это стейблкоин т.е он равен 1$ и имеет такую же стоимость по отношению к другим валютам, как и обычный бумажный доллар) в одном месте и продать его в другом.
Условно купить с карточки Тинькофф например на 100 тыс рублей на бирже Бинанс по 55р и потом продать на бирже Хуоби по 56р. И поскольку комиссии на перевод USDT низкие зарабатывать получалось 1-2% с одного такого круга.
Я очень плотно работал по этой так называемой арбитражной связке, собрал команду из 3 человек. Ликвидности как в наше время конечно не было и 1 такой «круг» (купили дешевле, продали дороже) бывало занимал по 2-3ч.
За день в среднем мы успевали сделать до 3-5 таких кругов по 300 тысяч рублей в среднем. Тоесть 900 тыс -1.5 млн рублей с доходностью 1-2%. А это около 10-30 тыс рублей чистой прибыли.
Работали мы так около полугода, чуть позже появились постоянные клиенты кто был готов покупать криптовалюту немного дороже — но знал что с нами можно работать и мы не подведём.
Помню бывали дни когда мы зарабатывали даже по 50-100тыс рублей чистыми за 1 рабочий день. Но ничего не вечно и спустя время доходность упала.
ЧТО ЖЕ БЫЛО ДАЛЬШЕ?
Начало 2022 года — всем известные события. Рубль летал от 80 руб до 120 руб за доллар иногда чуть ли не ежедневно. Курсы на биржах летали так же туда сюда. Началось золотое время для спекуляций.
Сначала были «простые связки» купили доллар на тинькофф инвестициях — потом перевели его на биржу бинанс и там продали на 2-5 руб дороже. Получив 5-10% прибыли к вложенной сумме..
Такие доходности были почти половину 2022 года. Позже появилась международные направления Арбитража. Когда выдачу наличного доллара окончательно запретили. Его можно было получать в других странах через платежные системы — такие как золотая корона, юнистрим, контакт. Так же были и SWIFT переводы которыми можно было пополнять криптовалютные биржи покупая USDT 1к1 к доллару. И продавать потом за рубли
Например на брокере мы покупали доллар по 80р, а на бирже продавали по 90р. Вот тут и начались сумашедшие доходности. Иногда можно было делать 50-100% к депозиту за 1 рабочий день
Представьте есть у вас миллион рублей и вы ежедневно делаете 500 тыс-1млн. Такое было возможно. Продлилось такая деятельность с высокими доходностями примерно с марта до июля 2022 года.
ЧТО ПРОИЗОШЛО ПОТОМ
Банки начали вставлять палки в колеса, блокировать счета за большое количество переводов, много людей узнали про арбитраж и стали «убивать связки».
Поясню — каждая связка имеет лимит и не может работать бесконечно, а если сотни и тысячи людей начинают её использовать — то рано или поздно она перестает приносить прибыль и умирает.
КАК ДЕЛА ОБСТОЯТ СЕЙЧАС
Арбитраж всё еще жив, но доходности с 5 — 20% как в первой половине 2022 года. Превратились в 0.5 -1.5%. Думаете это мало? Не соглашусь и вот почему
Сейчас можно без рисков стабильно зарабатывать 30 — 40% в месяц. Условно с 1 млн рублей можно зарабатывать 300-400 тысяч.
Вариантов работы сейчас достаточно — это и та самая международка
Еще очень интересное направление — межбиржевой арбитраж
Для международного арбитража нужны карты и счета в других странах
Для межбиржевого арбитража карты не нужны вообще — это заработок на разнице курсов криптовалют, вы же видите как растет биткоин, растут и другие криптовалюты. На этом росте можно хорошо заработать — покупая, как и раньше на одной бирже, а после продавая на другой.
Всем удачи друзья. И рекомендую вам попробовать себя в этом направлении заработка. Которым можно заниматься полностью удаленно, путешествовать и зарабатывать хорошие деньги!
Источник: vc.ru
История о том, как я стал криптомиллионером в 30 лет, делая по 20 тысяч долларов в месяц, и обрел свободу
Сегодня при таком колоссальном количестве недоэкспертов и просто откровенных прохиндеев всех мастей, подобные заголовки вызывают желание сразу не глядя поставить дизлайк. Но прежде чем обрушить свой гнев на автора, дочитайте статью до конца.
«Я вырываюсь из цепей (блока)», — автор.
Три месяца назад я крутился как белка в колесе, пытаясь запустить свой новый проект в области медицинских технологий и собрать нужную сумму в 60 тысяч долларов через одного венчурного акселлератора (программа поддержки и развития стартапов – прим. пер.). Ничего не получалось. Я работал 7 дней в неделю. Бодался со своим бизнес-партнером и изо всех сил пытался найти инвесторов, которые могли бы выделить хоть один цент, хотя бы даже на бумаге. Я просто морально выгорал.
А теперь перенесемся на три месяца вперед, и у меня уже больше 1 миллиона долларов, при этом я ничего не делаю, а просто получаю доход, превышающий 20 тысяч долларов ежемесячно. Как такое возможно? Ладно, я соврал вам. Но не об этих цифрах, а о том, как я к этому пришел. Это было не так просто и быстро, как я пытаюсь обрисовать.
Я впервые инвестировал в криптовалюту в 2014 году, после того как мой друг-разработчик рассказал мне о биткоине.
Перенесемся в прошлое
Мой друг с таким восхищением рассказывал о потенциале этой технологии, что я не удержался и сам начал рыть информацию по этой теме. Я не до конца понимал механизма ее работы, но мне было понятно, что эта технология изменит мир и ее цена будет расти. На момент 2014 года у меня за плечами было 5 лет учебы в архитектурной школе, и мне оставалось доучиться еще год. Я был на мели. Ну, не сказать, что совсем нищий: за все свои 23 года жизни я накопил около 4000 долларов.
В те годы я особо не отличался расчетливостью ума (тратил большую часть своего времени и денег на всякую ерунду), но кое-что в экономике понимал.
- Сценарий А: Я вкладываю все свои сбережения в BTC. Через 5-10 лет его цена упадет в ноль. Я потеряю все свои сбережения, но к тому времени я уже закончу учебу и буду работать 4-9 лет. Я верну эти 4 тысячи долларов несколько раз. Я сделаю рисковый вклад, он не сработает, но я ни о чем не пожалею.
- Сценарий Б: Я вкладываю все свои сбережения в BTC. Через 5-10 лет он вырастет в 100-1000 раз. Я заработаю миллионы и, само собой разумеется, должен буду сказать большое спасибо себе 23-летнему!
- Сценарий В: Я решаю не вкладывать в BTC. Через 5-10 лет он вырастет в 100-1000 раз… тут должно быть много матерных слов 🙂
Думаю, вы уже поняли, что я решил-таки вложиться в биток. И пока я вам об этом рассказываю, разворачивается сценарий Б.
Что в действительности значит «не спешить продавать»?
Причина, по которой большинство людей, которые инвестируют в криптовалюту, не становятся богатыми, заключается в том, что они не умеют ждать или, говоря криптографическим языком, ходлить (от английского HODL, являющегося производным от слова hold, то есть «держать» – прим. пер.). Ждать гораздо труднее, чем кажется.
На тот момент, когда я инвестировал свои средства, цена биткоина составляла около 600 долларов. Я купил 6,55 BTC. Я никогда не забуду это число. В течение следующих шести месяцев цена биткоина неуклонно снижалась, пока в январе 2015 года не достигла дна в 152 доллара. Это был убыток в 75%, пока я не знал, как работают инвестиционные, или другими словами криптоциклы!
Я уверен, что большинство на этом этапе уже продали бы свои монеты, а кто-то и дожидаться бы не стал и продал раньше. Я думал, все – плакали мои денежки, но держался. Логика у меня была простая: раз я и так потерял 75% своих инвестиций, то что уже дергаться? Чтобы еще больше не впадать в уныние, я перестал слишком часто отслеживать цены: быть может, смотрел раз в месяц.
В конце концов, мне еще надо было год доучиться. Потребовалось 18 месяцев (почти весь медвежий период), чтобы цена снова достигла 600 долларов в июне 2016 года. Такая себе удача…
К тому времени мне уже было 25 лет, я жил в Лондоне, работал на своей первой настоящей работе и, опять же, был слишком занят, чтобы слишком сильно заморачиваться судьбой своих горе-инвестиций. Я жил скромной жизнью и сумел накопить свыше потраченной тогда суммы. Что касается моих инвестиций, то через два года после вклада я достиг точки безубыточности. А потом начался бычий период.
С этого момента цена неуклонно росла и в апреле 2017 года достигла примерно 1,2 тысячи долларов. С этого момента все пошло наперекосяк. Все, кто до этого не знал, что это такое, начали говорить о криптовалюте. и вкладывать в нее свои собственные (и бабушкины) деньги. В период с апреля по декабрь цена выросла примерно в 16 раз, а за две недели до рождества достигла пика в 20 тысяч долларов.
И опять-таки я был слишком занят, чтобы обращать на это внимание. К тому времени я закончил свою недолгую (около 1,5 лет) архитектурную карьеру и присоединился к проптеховскому стартапу (проптех – это технологии в недвижимости – прим. пер.). Мы были только в самом начале своего пути, поэтому забот было выше крыши.
Я руководил оперативной группой, работавшей над управлением клиентской базой и недвижимостью 24/7 (буквально). Мы постоянно были перегружены работой и недоукомплектованы персоналом. Выход на азиатский рынок был не за горами. Люди вокруг меня говорили о криптовалюте, но у меня не было времени обращать на это внимание. Я все еще проверял цену раз в несколько недель.
Я покупал где-то в районе этой стрелки. А бычий рынок случился намного позже.
Большое падение и большой подъем
Сразу же после того, как рынок достиг максимума, цена начала падать. Сначала до 6 тыс. долларов в июне 2018 года, а в декабре того же года цена достигла второго дна в 3,1 тыс. долларов. Это на 84% меньше, чем в начале. Опять же, в поведении людей ничего не изменилось: те, кто купил монету за несколько месяцев до пика, впоследствии продали свои активы себе в убыток.
Конечно, я сам был не в восторге от того, что мои активы упали – на этом моменте готов рыдать – со 128 до 20 тысяч долларов, но, не забывайте, я все еще был в плюсе на 400% с момента первоначального инвестирования. Это 43% годовой доходности за 4,5 года – это все равно намного лучше того, что мог бы предложить вам любой банк или на чем зарабатывает большинство трейдеров.
К этому времени я поднакопил еще денег, и после падения биткоин снова стал казаться мне дешевым. Недолго думая, я в период с декабря 2018 года по январь 2020 года потратил около 82 тысяч долларов, чтобы купить еще 8,4 BTC: в среднем около 9,750 долларов за монету (а цена продолжала расти). Под конец мой чистый капитал примерно на 50% приходился на криптовалюту. Это казалось правильным соотношением. И моя вера усилилась.
На тот момент я переехал в Малайзию на должность руководителя гораздо более крупной команды все в той же компании. Я по-прежнему был занят и считал, что криптовалюта не заслуживает слишком много моего времени (при этом я считал, что в нее стоит вложить большую часть моих денег). Цена почти не менялась, оставаясь в диапазоне 8-10 тысяч долларов до октября того же года, пока мир был занят борьбой с covid (которая, казалось бы, навсегда должна была закончиться к следующему месяцу).
Октябрь прошлого года был бы хорошим временем, чтобы снова начать следить за ценами, но я был слишком занят, оставив свой предыдущий стартап и пытаясь запустить новый, на этот раз в Сингапуре. Это была пара адских недель (или адских месяцев!). Я не знаю, как цена достигла 30 тысяч долларов к началу января этого года (2021).
Мой общий чистый капитал теперь составлял свыше 500 тысяч долларов (81% в криптовалюте). Это не прошло мимо моего внимания. Но я действительно, в который раз, был слишком занят для более активного погружения. Я торопился запустить свой стартап и собрать эти гребаные 60 тысяч.
Это довольно типичное поведение крипторынка…
Централизованные финансы
К настоящему времени увлечение сферой DeFi более или менее устаканилось. А до этого мой сосед по дому (не технарь и не крипто-маньяк) все уши мне прожужжал про фарминг на BSC. Моя первая мысль была тогда: «Чувак, ты серьезно?». Я был настроен скептически. И не было времени на изучение вопроса.
Однако, поскольку мой стартап не набирал обороты и поскольку у меня не было реального дохода, на который можно было бы опереться, я решил немного вникнуть в тему. Три месяца назад, в конце февраля (когда BTC стоил свыше 50 тысяч долларов), я провел выходные за изучением вопроса и в итоге открыл сберегательные счета в Nexo и Celsius. Это не DeFi, но это было началом использования моих (до тех пор бездействовавших) BTC.
Я порылся в ящике стола в поисках ручки и бумажки с записанными приватными ключами (которым уже почти 7 лет). Затем я залез в Интернет, чтобы выяснить, как перевести их из формата BIP38, который прекратил свое существование много лет назад. После нескольких часов активных попыток у меня получилось.
Я все еще помнил кодовую фразу для расшифровки и сумел перенести все пять своих приватных ключей на горячий кошелек. (Да, я крайне скрупулезно подошел к вопросу безопасности в 2014 году). В моем горячем кошельке отобразился биткоин стоимостью 600 тысяч долларов, и мое сердце екнуло. Они все еще там и они настоящие!
Весь следующий месяц я провел за выяснением, как создать «правильные» (централизованные) сберегательные счета, чтобы в конечном итоге я мог получать 6% годовых со своей крипты стоимостью 600 тысяч долларов, что, по сути, давало бы мне доход в размере 3 тысяч долларов в месяц. Это позволило бы мне оплачивать счета, и я мог бы продолжать создавать свой стартап, не испытывая чувства вины. Как это было бы прекрасно!
Сберегательный счет Nexo. В то время ежедневные начисляемые проценты составляли около 100 долларов.
А потом децентрализованные
В то же время меня стало распирать любопытство насчет децентрализованных финансов (DeFi), которые были и еще остаются диким-предиким западом. В моих записях говорится, что я купил свои первые 178 монет CAKE (потратив около 2 тысяч долларов в BTC) на последней неделе марта, чтобы проверить на практике возможности фарминга. И боже, как мне понравились эти 100+% APR (годовая процентная ставка)!
К 1 апреля я увеличил долю альткоинов до 3400 CAKE (около 40 тысяч долларов), воспользовавшись своими биткоинами. Я помню, как в течение следующих нескольких недель увеличивался мой ежемесячный доход (доходность сверх основной суммы) с 3 тысяч долларов до 6 тысяч долларов, затем 12 тысяч долларов. а затем 30 тысяч долларов. Я конвертировал все больше и больше BTC в альткоины, и мне нравилось то, что я видел!
В ближайшее время я опубликую отдельную статью о всех тонкостях моих экспериментов в DeFi-фарминге, а именно: настройке, инвестиционной стратегии, управлении рисками и т.д. В целом я все еще был крайне консервативен в своих ассигнованиях. Все, что мне нужно добавить на данный момент, — это то, что мой собственный капитал превысил волшебное число в 1 миллион долларов 10 апреля, почти ровно за 1 месяц до моего 30-летия. Я знаю, что это формальность, но это определенно дало мне дополнительный заряд радости от победы. К настоящему времени я прекратил свои попытки запустить стартап и обнаружил, что полностью сосредоточен на исследованиях и экспериментах на этом рынке.
Всякий раз испытываю радость, открывая на экране приложение Blockfolio
В своей следующей статье я подробно распишу, как мне удается генерировать доход в размере 20 тысяч долларов на фарминге.
Я говорю 20 тысяч долларов, а не о 30, потому цены на все криптовалюты в этом месяце упали на 50%, — мой показатель дохода также снизился. Я не буду слишком заострять на этом внимание, так как, уже немного зная рынки, я считаю, что это всего лишь техническая коррекция, и текущий бычий цикл будет продолжаться и дальше. В то же время 20 тысяч долларов – это более чем достаточно, чтобы оплатить счета и оставить себе достаточно средств для продолжения реинвестирования, поскольку я продолжаю и дальше углубляться в эту тему.
Хотя я и не собираюсь на этом останавливаться, сейчас самое время оглянуться назад и оценить свои основные достижения за эти последние 7 лет, объясняющие мой сегодняшний успех.
- Терпение и спокойствие. Я стал свидетелем того, как мои активы упали на 75% почти сразу после покупки. Я держался. Затем я наблюдал аналогичную картину, когда они снова упали на 85% в 2018 году. Я держался. И прикупил еще монет. Я уже не говорю про взлеты и падения на 20-40%, происходившие в процессе.
- Время – главный фактор. Да, мне повезло, что я узнал о биткоине в 2014 году. Но это было мое решение воспользоваться моментом и не ждать пару лет, чтобы посмотреть, оправдает ли себя технология. С другой стороны, в 2019 году, когда цена была низкой, я пополнил свои запасы. Это было самое подходящее время для покупки, хотя отдача случилась далеко не сразу.
- Тише едешь – дальше будешь. Я знаю многих людей, которые в какой-то момент стали активными трейдерами криптовалют. Все они либо потеряли деньги, либо получили в несколько раз меньшую прибыль, чем если бы они просто держали BTC, как это сделал я. Первое правило торговли — не теряйте деньги. Не торгуйте на рынке, если вам не хватает опыта (а я почти уверен, что его у вас нет) или терпеливо ждите подходящую возможность.
Большинство покупателей крипты 🙂
Источник: cryptor.net
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Биткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.
Ещё в конце весны я купил доступ за $500 к инсайдам одного инвестиционного клуба. Прикупил себе ещё монет, — это кроме эфира и биткоина, а в конце августа поступила рекомендация о том, что можно отдавать свои биткоины трейдерам под %15 в месяц, именно поэтому я начал свой путь с сайтов, которые занимаются доверительным управлением.
Первая компания — example1.com (Запретили разглашать названия, связанные с их веб-сайтами) очень популярна и известна для многих инвесторов. Перед тем, как вкладывать туда деньги, решил проверить личный кабинет на уязвимости. Зарегистрировался, но на удивление — ничего не нашёл, везде фильтрация, csrf токены и тд. Потом зарегистрировал ещё один аккаунт, но вместо имени вписал скрипт сниффера. Мне долго ничего не приходило, я уже было смирился с тем, что у проекта все хорошо с безопасностью, нет никаких BLIND XSS и прочих вещей, но только до момента пока мне не пришли логи (исходный код, ip администратора, local storage и др)
JS выполнился, когда админ проверял страницу с данными о пользователе admin.example1.com/user/default/index?page=75. Аналогичные уязвимости всё чаще встречаются на hackerone, пример https://hackerone.com/reports/251224.
Просмотрев логи, я расстроился из-за того, что все cookies с httponly флагом и не удалось получить ни одной, в итоге, я бы не смог получить доступ к админ панели, но когда перешёл по ссылке admin.example1.com/user/default/index?page=75, то увидел, что админ панель можно использовать без авторизации, — это грубейшая ошибка разработчиков.
Всего можно было просматривать и изменять информацию о 2010 пользователях (email, телефон, ссылки на соц сети, кошелёк для вывода bitcoin, логин, баланс, реферер). На скриншоте один из самых богатых инвесторов клуба, у него большое число подписчиков и я постоянно слежу за его блогом. Он порекомендовал всем своим подписчикам вкладывать в это ДУ свои деньги, конечно же, по реферальной ссылке, но не больше %20 от капитала. Через небольшой промежуток времени ему удалось заработать на этом 20 биткоинов, что равняется $360 000 на сегодняшний день.
Злоумышленник без какой-либо подготовки или опыта мог легко зайти в админку и изменить email адреса всех инвесторов на свои(или просто изменить кошельки для вывода, чтобы не вызвать лишних подозрений когда жертва решит вывести деньги, ибо при выводе кошелек по каким-то причинам не отображался). Инвесторы там достаточно крупные, у многих есть депозиты >0.5btc. Очень странно, что в админке не указаны пароли в открытом виде, —
у меня такое чувство, что разработчики этого ДУ способны на всё что угодно в плане ухудшения безопасности своего сервиса.
После обнаружения уязвимости я прислал репорт разработчикам, они, в свою очередь, связались с создателем и устранили уязвимость… Мне предложили начислить награду на счет в личном кабинете, где я буду получать % и через полгода смогу выйти в безубыток, а уже через год заберу само тело. Месяцем позже, когда я нашёл похожую blind xss у них в сервисе и получил за неё ещё баунти, стало известно, что разработчиков ДУ уволили (и деньги за их работу на то время вроде бы не выплатили), разработкой стали заниматься другие люди.
Немного позже, после первой рекомендации, пришла вторая (example2.com). Это тоже топовый, популярный сервис доверительного управления, у него alexarank
Тщательно всё проверив — ничего не обнаружил (даже любимый clickjacking :)), кроме двух CSRF уязвимостей в post запросах. Первая позволяла изменить реквизиты для вывода средств: пользователю было достаточно перейти по ссылке на CSRF эксплойт.
Вторая позволяла вывести деньги пользователя на уже измененные реквизиты. Таким образом, если юзер просто перейдет по ссылке, то лишится всех своих денег. Как можно было осуществить атаку? Злоумышленник мог бы нанять специалиста по социальной инженерии, проспамить участников их чата в telegram и получить хороший профит.
Сразу после обнаружения я написал разработчикам сайта, также попросил знакомых из клуба написать владельцу. Мне ответили, что, якобы, из-за того, что юзеру нужно перейти по ссылке — уязвимость абсолютно не опасная. Выглядело забавно. После этого я написал ещё пару писем с доказательствами о том, что баг все-таки стоит внимания и его надо фиксить незамедлительно, но, увы, меня проигнорировали.
Чуть позже случились вполне предсказуемые вещи для проектов такого рода — реквизиты пользователей начали массово менять, узнал я об этом от их разработчика, который отписал мне буквально пару дней назад(как я понял из его слов — юзеры сами делали вывод, и средства начали пропадать). Страшно представить потери в том случае, если бы хакеры задействовали уязвимость в выводе средств. Разработчик попросил ещё раз отправить репорт об уязвимости, после этого на форму смены реквизитов была добавлена google recaptcha и подтверждение по смс (чтобы наверняка).
После этого я решил заняться поиском уязвимостей на криптовалютных биржах.
Poloniex я решил не трогать, — они не платят за уязвимости, да и капитала я там не держу. Именно из-за их игнорирования проблем безопасности — уязвимость обхода двухфакторной аутентификации была продана в даркнете, cсылка — https://t.me/vulns/43.
Раньше там у меня было на счету $6000, совсем случайно зашёл на свой аккаунт из vpn Молдавии, как итог — аккаунт сразу заблокировали. Пришлось пол месяца ждать разблокировки, после этого случая вывел оттуда все свои деньги. Хорошо, что просто не забрали их себе, как делали со многими клиентами.
Решил начать с livecoin.net. Биржа оказалась хорошо защищена, обнаружил только low-импакт SELF XSS уязвимость(она так и осталась self, clickjacking на сайте и csrf в post запросе нет). PoC видео
Затем принял решение перейти к okex.com. Эта биржа очень популярна не только в Китае, но и во всем мире. Некоторый фукнционал не полностью переведен на английский, он на китайском языке, но это не стало проблемой, расширение google переводчик помогло мне быстро выделять текст и переводить его, не уходя из страницы.
Как и во всех остальных случаях — я тщательно проверил безопасность, в том числе поддомены и директории. Оказалось, что https://www.okcoin.com/ (6000 alexa china), https://www.okcoin.cn/ (9000 по миру, 2000 в Китае) имеют точно такой же дизайн и функционал, как и okex. Это значит, что если я найду уязвимость на одном их сайте, то остальные тоже будут ей подвержены. Позже заглянул в службу поддержки пользователей (немного пофантазировал о том, как я заливаю shell в тикет и он выполняется) и обнаружил множество уязвимостей, расскажу о них ниже:
1. Уязвимость iDOR www.okex.com/question/questionDetail.do?workOrderId=2550, позволяла просматривать все 2500 тикетов okex на то время; на сегодняшний день количество увеличилось до 4898, и это тикеты на одной только бирже. В тикете раскрывается полный номер телефона, email, настоящее имя, текст переписки между юзером и поддержкой и полный путь к прикреплённому вложению.
Как выяснилось позднее, многие пользователи проходят процедуру верификации в службе поддержки для того, чтобы увеличить свой лимит на вывод. Необходимо прикрепить селфи вместе с паспортом, или же просто фотографию паспорта.
Вот немного таких фотографий(Данные скрыты)
Кроме паспортов, раскрывается также множество фотографий и скриншотов с экранов устройств.
Я приступил к скачиванию всех тикетов (использовал как доказательство критичности данной проблемы). Использовал Burp Intruder, запустил и поставил от 1 до 2549 на url /question/questionDetail.do?workOrderId=2550. Обнаружил, что никакая информация не загрузилась. Решил вернуться обратно к поддержке и еще по-перехватывать запросов, в тот момент обнаружил, что подгрузка на страницу производится через get www.okex.com/v2/support/cs/work-order/2550/replies. Кинул этот запрос в интрудер и скачал все тикеты, — теперь их можно было свободно отправлять разработчикам бирж.
2. Stored XSS в api. Наш js не отображается в самом тикете /question/questionDetail.do?workOrderId=2550, видимо, там стояла фильтрация на запрещенные символы. Но в api /v2/support/cs/work-order/2550/replies всё прекрасно работало, — подгружался даже js со сторонних доменов.
Если скомбинировать 1 и 2 уязвимости, то можно было успешно украсть много денег. Атака должна была протекать по такому сценарию:
1) Парсим все email адреса.
2) На нашу страницу встраиваем js/html редирект на фишинговый сайт самой биржи(в данном случае, есть несколько бирж, и для каждой нужно будет сделать форму), Myetherwallet, blockchain.info и др.
Некоторые умельцы дошли до того, что сразу после ввода логина и пароля на poloniex.com / bittrex.com / blockchain.info запрашивают в жертвы её 2FA код каждые 15 секунд (для входа в аккаунт, для вывода средств), — реагировать на ввод 2FA нужно очень быстро, потому что его срок действия истекает через короткий промежуток времени. Таким образом, с помощью unicode символов, заменой некоторых букв, например i на L (BlTTREX.com, POIONIEX.COm), регистрацией обменника на другом домене (например poloniex.com.ua), созданием приложений на android и рекламой в поисковых системах, злоумышленники за год смогли украсть у пользователей больше $80 000 000.
3) Отправляем на email адреса письма, которые мы заранее согласовали с человеком, разбирающимся в соц инженерии. Пользователи должны поверить в письмо и перейти по ссылке, так как она ведёт не на сторонний сайт, а на биржу.
4) ??
5) Получаем данные для входа, выводим средства.
PoC этой XSS в видео
3. iDOR в добавлении комментария, можем добавить сообщение от имени пользователя, который создал тикет.
POST /v2/support/cs/work-order/reply HTTP/1.1
Host: http://www.okcoin.com
4. Stored XSS в html файле, который прикреплялся к тикету, но на домене bafangpublic.oss-cn-hangzhou.aliyuncs.com. Домен уже не доступен и whois говорит, что он принадлежит Hangzhou Alibaba Advertising Co.,Ltd.
5. Disclosure information. Я заметил, что разработчики бирж хотят максимально скрыть номер телефона пользователя при взломе аккаунта. На странице безопасности телефон отображается как 636819****, в cookies он 6 * 6. Но в ответе api службы поддержки /v2/support/cs/work-order/2550/replies его полностью отображает, так не годится.
Насколько я понял, — у всех бирж один владелец и нет смысла писать всем отдельно, поэтому отправил репорт в чат и на email биржи okex. Очень быстро получил сообщение от официального аккаунта okex в твиттер, и уязвимости оперативно устранили.
Дальше начал тестировать example3.com. Биржа запретила раскрывать информацию об уязвимостях, цитирую:
Regarding posting on your blog, we would appreciate if you don’t do this at the moment. Our site is still not 100% secured and I fear it will open a door for malicious users.
Обнаружил XSS в кошельке, а именно — в отделе партнерской программы, — получилось поднять её из self в хранимую с помощью csrf эксплойта, можно было воровать cookies, так как отсутствовал флаг httponly. Я мог бы сейчас прикрепить видео, которое уже записал, но, увы — там раскрывается название биржи.
За неё в службе поддержки мне предложили $100, но почти в тот же момент на сниффер пришли логи из их домена для сотрудников.
В логах была только cookie
AWSELB=2ЕB3B1851EC08CCFEEC18E2DB93AE1EF2A69A2A2F9D65DCC84AB785C7C7773319F1F769CCF35CA8F430D5785D5AE4AB2C48C46EE6BE8F33Cу293D40F3CCA9F92E38E62AA65 , сессионная кука(самая главная) отсутствовала, мы не можем проникнуть в админ панель через подмену куков. Я тщательно проверил репорт и нашёл в исходном коде логин и пароль администратора
Но когда зашёл на страницу авторизации, то увидел это.
В админ панель через логин; пароль мы попасть не можем, необходимо взломать учетную запись google и получить доступ к authenticator, или сделать редирект на фишинговый сайт прямо из админки, украсть его код и быстро его ввести. Второй вариант вполне реализуем.
Пока писал репорт об blind xss в админке, нашёл ещё:
1) CSRF уязвимость в изменении реквизитов для вывода партнерских средств, краткий запрос:
POST /affiliate_program HTTP/1.1 Host: www.example3.com wallet=my_walletorder=ID_of_order. Суть уязвимости в том, что если юзер уже создал заказ и хочет переводить свои биткоины на кошелек биржи, — мы можем отменить это действие. В лучшем случае, его заказ просто удалится из системы, в худшем — он переведет биткоины и потеряет свои деньги. Эта уязвимость в основном полезна только для бирж-конкурентов, а не для хакеров.
После того, как я прислал новый репорт в поддержку, со мной на связь вышел chief security officer для обсуждения уязвимостей. Мне хотели позвонить в скайпе или по телефону, но в данный момент мои знания английского находятся на среднем уровне, поэтому решили ограничиться чатом. За уязвимость мне предложили 0,1 btc($1130):
After consulting with our finance and regarding our situation, we can pay you $1000. This is the highest amount we paid for a bug and is much higher than what we usually pay. It is to show our appreciation to you and the way you handled the situation.
Приношу свою благодарность за bounty. Они ответственно относятся к безопасности, приятно было общаться с их CTO.
Всего с поиска уязвимостей на этих сайтах, занимающихся криптовалютой я получил:
Доверительно управление example1.com: 1 btc.
Доверительное управление example2.com: 0,122 btc.
Биржа livecoin.net: $200 фиатными средствами.
Биржа okex.com: 2 btc, я благодарен okex за баунти, CTO биржи разрешил публично раскрыть уязвимость.
Биржа example3.com: 0,1 btc.
1+0.122+2+0.1+$200=$58 200 и с ростом курса bitcoin эта сумма будет расти.
Вывод из статьи: Всегда нанимайте высококвалифицированных программистов для своих проектов, особенно, если ваш бюджет позволяет это сделать. В первых двух случаях компании достаточно крупные, могут позволить себе нанять качественных специалистов, но экономят, и из-за этого могут пострадать пользователи и репутация — они оставляют админку совсем «голой» и игнорируют проблемы, на которые указывает специалист по безопасности.
P.S: Так же есть интересная информация на тему того, как я обнаружил уязвимость на gearbest.com, позволяющую узнать логин и пароль от любого аккаунта, а так же об уязвимости на webmoney.ru(могу рассказать об этом только из разрешения администрации), с помощью которой можно было отправить сообщение с js/html 35 000 000 пользователей, но это уже совсем другая история. Чтобы быть в курсе моих последних статей, рекомендую подписаться на telegram/twitter/vk, ссылки внизу.
- Информационная безопасность
- Тестирование IT-систем
- Программирование
- Тестирование веб-сервисов
- Финансы в IT
Источник: habr.com