Tibia została złamana?
Wczoraj rano – ni z gruchy, ni z pietruchy – Character Bazaar, czyli oficjalna platforma do legalnej sprzedaży/kupna postaci w Tibii, została wyłączona.
CipSoft tłumaczył się pracami technicznymi, ale w rzeczywistości możemy być świadkami poważnego, wręcz dramatycznego błędu, który może się okazać znamienny w skutkach.
O co chodzi? Tuż przed wyłączeniem Bazaru, na rynku zaczęły się pojawiać bardzo dziwne aukcje: z niskolevelowymi postaciami sprzedawane za absurdalnie duże pieniądze (np. 8 lvl za 690,000 Tibia Coins, czyli w przeliczeniu za ponad 100 tysięcy złotych).
Pierwsza myśl? Pranie brudnych pieniędzy, co samo w sobie jest haniebnym czynem, ale gdy nie dochodzi do złamania regulaminu czy zhakowania gry, to mimo wszystko można to puścić mimo oczu.
Potem jednak pojawił się wpis pewnej osoby, według której za wyłączeniem Bazaru stoi poważny błąd bezpieczeństwa powodujący oszustwo systemu gry i generowanie praktycznie nieskończonej liczby Tibia Coinsów.
(Tibia Coinsy to płatna waluta gry kupowana za realne pieniądze)
Powodem, dla którego Char Bazaar jest teraz offline, jest błąd psujący grę, w którym można oszukać system, myśląc, że gracz wylicytował ogromne ilości Tibijskich Monet na aukcji. Aby to zadziałało, musisz mieć dwa konta. Polega to na modyfikacji nagłówków HTTP wysyłanych do serwisu. To działało od początku Char Bazaar został uruchomiony.
Nagłówki HTTP to w zasadzie pakiet informacji, które są wysyłane od ciebie do strony internetowej Tibii. Za każdym razem, gdy ładujesz stronę lub wysyłasz informacje do ich witryny (np. kwotę oferty), przesyłasz informacje ze swojego komputera na ich serwer. Nazywa się to żądaniem internetowym. Większość witryn obsługujących transakcje (pieniądze) nie pozwala na modyfikację przesyłanych informacji ze względów bezpieczeństwa. Ale w tym przypadku strona Tibii nie miała kontroli tego typu rzeczy. Co pozwala ludziom modyfikować dane wysyłane na serwer. Pomyśl o tym w ten sposób, zamówiłeś paczkę od firmy i masz gwarancję, że paczka będzie zawierała X. Ale gdzieś podczas transferu ktoś otworzy paczkę i zamieni X na Y.
- Gracz A (Konto A) to postać, która zostanie wystawiona na sprzedaż na Char Bazaar.
- Gracz B (Konto B) to postać na innym koncie, która będzie licytować Gracza A .
- Gracz A ustalił limit np. 250 000 Tibijskich Monet, mimo że może to być tylko postać niskiego poziomu, bez niczego.
- Gracz B będzie licytował postać, ale nie będzie miał wystarczających środków na koncie (np. tylko 100 monet Tibii).
- Gdy Gracz B składa ofertę na Gracza A , Twoja przeglądarka internetowa musi mieć punkt przerwania, który zatrzyma dalsze działania. Działa to dobrze w Mozilla Firefox. Tak więc w zasadzie inicjujesz licytację na stronie Tibii, ale teraz masz możliwość modyfikowania kwoty transferu, zanim zostanie ona faktycznie sfinalizowana.
Witryna Tibii nie sprawdzi, czy konto ma wystarczającą ilość środków przed rozpoczęciem transferu, ani później, ale tylko podczas transakcji (około 3/4 do złożenia oferty). Więc to, co się stanie, to to, że strona internetowa Tibii jest w pewnym sensie gwarancjąże transfer nastąpi, zanim obliczą, ile Tibia Coins masz na swoim koncie, i zagwarantują, że nastąpi to później, bez dalszych kontroli. I ta „gwarantowana transakcja” zostanie zaakceptowana w ich systemie. Oznacza to, że WSZYSTKIE oferty (transakcje) będą domyślnie liczone jako „zaakceptowane” (nawet jeśli tylko przez ułamek sekundy), ale nie zostaną w pełni zrealizowane, dopóki wszystkie monety Tibii nie zostaną do nich dodane. Więc nawet jeśli minimalna oferta wynosi 250 000 TC, a ja licytuję 100 TC, zostanie ona "zaakceptowana" na krótki czas (mówimy o milisekundach) po stronie CipSoftu. A jeśli zatrzymam żądanie sieciowe i zmodyfikuję nagłówki HTTP do strony internetowej w chwili, gdy zostanie ona sfinalizowana, mogę po prostu zmienić wartość „100” na „250000”, a oferta (transakcja) zostanie zaakceptowana. W ten sposób możesz oszukać stronę internetową, aby myślała, że wysłałeś 250 000 TC, ale masz tylko 100 TC. I żadne dalsze kontrole nie są przeprowadzane przez CipSoft. Nie będą później sprawdzać, czy konto ma takie ilości TC. Jeśli ta transakcja zostanie sfinalizowana, to wszystko, czego potrzebują.
Więc kiedy aukcja się zakończy, Gracz A otrzyma te 250 000 TC (minus opłata), a Gracz B zostanie odjęty tylko te 100 TC lub tyle, ile miał na swoim koncie. Chcesz mieć jak najmniej TC na swoim koncie (np. 57 TC). Tak więc tylko ta kwota jest wypłacana, a nie 250 000 TC.
To pozwoliło mi stworzyć nieskończoną liczbę monet Tibii na wielu kontach.
NIE MAMY OBECNIE ŻADNYCH DOWODÓW, że to wszystko prawda (brzmi zbyt skomplikowanie na fejk), ale obiecujemy trzymać rękę na pulsie.
Cdn…