-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Фейкаем любой крипто проект с мерзким фронтендом без кодера
- Автор темы Noizefan
- Дата начала
Годнота, спасибо, мне понравилось!
Досье
Сложность реализации: легкая
Потенциальная прибыль: десятки тысяч долларов
Необходимые знания: минимальные, понимание HTML+CSS
Необходимые вложения: около пары сотен долларов
Необходимые навыки:
- терпеливость: легкий
- усидчивость: легкий
- удача: средний
- интуиция: средний
____________________________________________________________
Тема публицируется по причине того, что стало скучно!
Все, кто по ней работали - перестали выходить в онлайн, поудаляли аккаунты,
и есть у меня небеспочвенное подозрение, что сделали бюджеты и теперь сидят
в оффе занимаются прочими делами.
Весомый вопрос - че ж я сам тогда такие же бюджеты не сделал? А все просто.
Заработать много денег можно много как, распыляться на все темы - меня физически не хватит)
+ я сделал по ней свой приятный процент, так что дергаться лично для себя просто смысла не вижу.
Сама схема не сказать что капец какая уникальная,
уникальной её делает множество уникальных выборов касающихся ее деталей. Строго говоря,
набор этих деталей и некоторых прилагающихся механик и будет сегодня представлен всеобщему вниманию.
Несмотря на кажущуюся простоту и (С) все гениальное - просто, многие пробующие могут отвалиться просто на лени.
Сегодня мы доведем таких за ручку до победы!
И я напоминаю. Ты можешь заработать, ключевое слово "можешь", не от прочтения
этой статьи, а именно от реализации. Успех, к ленивым, как правило, повернут жопой.
Так что, раз мы договорились - самое время действовать!
Ледниковый криптопериод, где обитают криптомамонты
Безусловно, стоит сразу отдать респект коллеге, который описал метод тихого слива
нфт и токенов - ты красавчик! Лично меня сподвиг разобраться глубже в EVM и сделать интересный проект. У меня и вопроса не стоит, за кем первое место в конкурсе.
И попрошу не считать наши темы похожими. Социальная инженерия сама по себе, скажем так, - есть свод
методов подсовывания жертве походящих за настоящие интерфейсы взаимодействия с информационными системами.
Приступим.
Нашей жертве слегка за 25, обитает она на разных новостных и околотематических источниках связанных с DeFi,
подключает свой МетаМаск на любой более-менее выглядящий проект (т.е. куда попало), считает, что опасность её ни
за что не затронет, ведь русские хакеры еще не знают, что такое криптовалюта. Для особенно умных - это был двойной сарказм. Двойной, потому что первый слой - слишком очевидный.
Тут то жертва и ошибается.
Проследуем на шикарный источник дефи-проектов, куда частенько лезут тусоваться всяческие дефи-чмошники: https://www.defipulse.com
Здесь просто содержится толпа популярнейших по мнению дефи-чмошников проектов. Берем любой, где есть кнопка "Connect Wallet" (подключить кошелёк):
Посмотреть вложение 38611
Посмотреть вложение 38612
Ctrl+S в браузере, это сохранит всю страничку с дополнительной прилагающейся ветошью в папку:
Посмотреть вложение 38613
рекомендую сразу при сохранении называть файл index.html
Пробуем два раза кликнуть по индекс хтмл, чтоб он открылся в браузере, и видим шиш с маслом. Опаньки, а чо такое?
А я объясню. Из-за того, что все метамаски работают на новомодных технологиях, т.е. Web3, то и эти технологии
работают на новомодных фреймворках, т.е. ReactJS. Прошла эра создания фейка на любой сайт за полторы минуты, сегодня
глупый кодер попросит тебя тыщу баксов и переверстает весь сайт вручную на реакте, тем самым отбирая у тебя драгоценный бюджет
на залив на таргет этого всего добра. https://xss.pro/threads/69122/ - не в обиду, человек сделал действительно серьезный продукт судя по описанию, просто продемонстрировать что кодеры правда делают фиши на тех же технологиях на коих сделаны сами таргеты.
Только вот никем и нигде не уточняется, что собранная и отрендеренная на сервере или клиенте яваскриптом хтмл страничка УЖЕ отрендеренная,
то есть не нужно ничего мудрить - методы новые, а технологии старые. Элементарным фиксом с которым справятся даже дети мы щас пофиксим всю страницу.
Идём в index.html, ищем там нечто содержащее набор символов "app.js":
Посмотреть вложение 38614
Комментируем. Комментарии в хтмл выглядят как <!-- * -->, где звездочка - то что ты собрался комментировать, как видно на скрине.
Можно поэкспериментировать с комментированием разных *.js, если этот app.js не сработал - как правило, нет в страничке такого, который не сработал бы. Они находятся либо внутри не очень большого относительно странички <head>, либо где-то перед </body> в самом конце странички.
Сохраняем, перезагружаем - вуаля:
Посмотреть вложение 38615
получаем фейк с отрубленным компонентом динамической сборки странички, заставляя показывать его именно то, что мы сохранили изначально.
Можно заметить косяки - расползся один блок - их, к сожалению, придётся пофиксить, но и это базовых знаний HTML+CSS - трех дней легкого читания уроков под пивко.
Фиксим:
пихаем перед </head> этот кусок кода:
HTML:<style> .poolsdialog{ max-width: 680px; } </style>
Работает? еще бы:
Посмотреть вложение 38616
Еще я удалил несколько ссылок <a>*</a> с другими проектами в контексте этого, чтоб не париться долго с их выравниванием, и дописал перед полоской загрузки фразу Connecting wallet... - конечный пользователь сочтет это за вполне адекватное поведение. Если уж совсем боишься, что не сочтет - велком, допили.
Устал? Я тоже нет, это тебе не аппаратный криптокошелек собирать
А это уже пол работы!
Осталось присобачить к кнопке выпадающее окохо с вводом мнемоники метамаска, вооот такое:
Посмотреть вложение 38617
Делаем.
Нужно сунуть в индекс хтмл перед </body> вот такую приблуду:
Она просто открывает отдельное окно с фейком метамаска.HTML:<script type="text/javascript"> document.onclick = function(){ window.open("MetaMask.html",'...',"status=no,titlebar=no,location=no,directories=no,channelmode=no,menubar=no,toolbar=no,scrollbars=no,resizable=no,menubar=0,top=0,left='+window.innerWidth+',width=400,height=650');") } </script>
И нужно положить в папку с сайтом приложенные к статье файлы из папки Mmask.
Теперь идем как раз в эту папку, заходим в метамаск.хтмл, меняем там поиском по файлу адрес сайта на который переадресуется этот фейк после нажатия на кнопку PROCEED.
В приложенном фейке curve.fi найди сам curve.fi чтоб понять где его потом менять, в курве фи уже все это сделано. Это нужно для того, чтоб после ввода мнемоники мамонта переадресовало на оригинальный сайт.
Поздравляю, вы великолепны!
Открываем сайт, жмем коннект валлет, выбираем метамаск, вводим любые слова, жмем ок - нас переадресует на оригинальный сайт,
а в файле log.txt по одному в строке содержатся мнемонические фразы жертв. Жируй - не могу.
И что делать-то теперь с этим?
Да все довольно просто, нужно лишь наработать чуйку и автоматизм слегка.
Как арендовать схожий с оригом домен на namecheap.com и хостинг чуть ли не там же - рассказывать не буду, это уж совсем дюжину раз везде описано,
я уже всем доказал что могу по объему хоть докторскую написать, так что только полезные знания, только хардкор)))
Далее - ищем на форумах сервис продажи google ads аккаунтов с прикрученными к ним картами с балансом (или делаем сами, если умеем),
топаем в Google Trends (посмотреть по каким ключевым словам больше всего гуглят похожее люди, грубый например - new defi project), потом создаём
там объявление рекламное, ждем пока аппрувнется ИИ, и на наш сайт начинают забегать мамонты, оставляя свои мнемоники.
GOOGLE ADS
Здесь самая загвоздка и заключается. Все люди, с которыми я общался по теме Google Ads - в чатах, мои партнеры, знакомые трафферы, просто знакомые - все как один сошлись на мнении, что результат в этой сфере достигается лишь накопленным опытом, даже передать его грамотно не получится.
Нужно пробовать и учиться.
You will be cut cards, blocked after 15$ (today it doesn’t sound so much anymore, right?), but this is far from programming - it’s just a platform
advertising. It is being studied, experience is being gained, having mastered Google ads on scarred maps, you can send traffic to white projects (but be careful, all the same
cards are squandered)))), this is a very serious skill.
As a rule, this is how the work was divided - I was the coder, I was absolutely thrilled to cut these small projects, the traffer and organizer of all other activities was my partner.
Well, coder, today I showed that you don’t need to be Satoshi Nakamoto, but you don’t need to be anyone, except perhaps a person with logic to do it all yourself.
In total, for the entire time I worked with people, my share, which I received, amounted to more than 2 million rubles at the rate of about 70 per dollar. This is about a year of non-stressful work, for me only as a coder - url came - made website - got cash, fix + interest. In the meantime, he was engaged in all sorts of developments. It sounds something like “won’t you, uncle, could you live in peace”, but it’s worth really frankly admitting - I’m too lazy to move on this whole topic, that’s true. Let my other cases give such a cache only after 2, 3, 5x of the same time, but personally I will not be gnawed by the conscience that I made 3 fakes in half an hour, in fact, without spending even one hundredth of my knowledge. And this is not stuffing oneself up as a specialist, including what those whom I froze off with incredibly interesting job offers can confirm.
________________________________________________________________________________
To begin with, I recommend just buying accounts with already linked cards from people who do this all the time, I will not advise anyone,
so it doesn't look like an ad. Linking a card is half the battle. It remains only to create the correct ad so that both Google skips it and the conversion
there was none. As in any "topic", you can lie a thousand bucks and get a mnemonic with $ 1 in your account, or put it correctly on the stream and each
a day to catch mnemonics with NFTs, noble tokens, ether and the like. Everything depends solely on you.
Outcome
I add, my dear, an archive with two fakes - https://www.sendspace.com/file/m1vdxe - discussed in the article curve.fi and a certain fei.loc (loc is my local domain, look at the original by entering a non- existent mnemonic and jumping on orig, for the life of me I don’t remember the original domain))), on fei.loc there is also more complex mechanics with different connected wallets - the ledger is whipped up there, let the seeker find it, complete it himself as needed for any cat. For other techniques, you will have to understand PHP a little and fix the submit.php file, but there are also literally 3-5 lines in total - it will not be difficult to figure it out. In a separate folder, there is a metamask for use in your projects - the Mmask folder.
All a quiet lake and a big catch.
https://xss.pro/threads/69049/ - cry_more, count while it was written - it was written for you, get high))
https://xss.pro/threads/68288/ - LMNTRXX drop your live panel in PM, I'll see if it's interesting and I'll highlight some time) link to show how people are just too lazy to fix ten lines in total .
UPD: I just saw that the favorite got a ban - it's a shame, but the scammer should be punished. I still recommend reading his article - there is a lot of useful information there.
Two Novel Crypto Wallet Exploits, Explained
At the ‘Off the Chain’ Web3 security conference in San Francisco in June, Unciphered–a cryptocurrency asset recovery company–unveiled three…
medium.com
Пронииикся))
Russian Hackers однако.
da ne, prosto translitom vpadlu pisat'. ne proniksya. a vlubilsya
Без обид, но статья ни о чем.
Adwords прикроет любой аккаунт рекламирующий крипту еще до того как ты нажмешь кнопку Submit.
Уже не говоря о встроенных антифишинговых защитах в сам метамаск и антивирусы.
Да и сама тема баян, еще год назад на экспе был топ. Плюс инерес к DeFi сейчас упал в разы. Короче, если хочется "всрать тысячу баксов и получить мнемонику с 1$ на счету" + убить кучу времени, то welcome.
Adwords прикроет любой аккаунт рекламирующий крипту еще до того как ты нажмешь кнопку Submit.
Уже не говоря о встроенных антифишинговых защитах в сам метамаск и антивирусы.
Да и сама тема баян, еще год назад на экспе был топ. Плюс инерес к DeFi сейчас упал в разы. Короче, если хочется "всрать тысячу баксов и получить мнемонику с 1$ на счету" + убить кучу времени, то welcome.
if adword is shutting down any crypto ads so can you explain to me why this guy is running this campaign for almost 1 month ?
Вложения
Сколько профита с этого проекта ?
1. Это не крипто ключевики, а название сайта, причем довольно общее, поэтому гугл проглотил.
2. Клоаку делали специально под этот ключ (на скрине видно).
3. Если ты о статье на medium, а не о втором сайте который позавчера зарегистрировали, то там не фейк, а скорее всего статья со ссылкой на фейк. Возможно поэтому и живет так долго, но этот весь этот гемор с фейками, статьями, клоаками, гугл аккаунтыми не стоят той сид фразы от индуса школьника на которой будет 0$.
Вложения
no im talking about the first site, when you click for the first time it redirect you to a fake curve.finance fake crypto with a smart contract that steal the whole wallet .
i have checked the actors wallet (about 3 adresses as they are linked with different way he have already reached about 200k$
and when you click for the second time it redirect you to a medium article.
Тогда тем более. Если они могли каким-то образом из medium сделать клоаку, то это pro уровень. Только такие и лезут в выдаче гугл адс. И мы говорим не о поддельных смарт контрактах, а о стиле сид фраз - это как человека с обезьяной сравнивать.
no stealing stealing seed phrases is old school fake smart contract work best nowadays .
and for the cloaka i suggest to check this post:
https://xss.pro/threads/63978/page-2#post-463230
the are a user who explain everything about this method but need to be tested multiple time to be done.
Просто, но познавательно!
пятый ден читаю - пора пробовать! огонь