Как пользователи TJ взломали игру, выпущенную к 11-летию ВКонтакте

TJournal

И нарисовали большой логотип с помощью ботов.

Вчера на TJ появилась заметка о том, что пользователи «ВКонтакте» (в основном, читатели TJ) взломали игру «Пиксели», выпущенную к очередному дню рождения соцсети. Мне, как участнику событий, хотелось бы внести ясности и подробно расписать, как всё было на самом деле.

Впрочем, для начала надо описать, как вообще устроены такие игры.

Первым соревнование на гигантском холсте организовал Reddit, который задал механику: на цифровом полотне каждому из участников игры раз в некоторое время разрешается изменить цвет одного пикселя. Тогда же пользователи начали объединяться в группы для совместного рисования.

В нашем случае всё началось с чата в Telegram, созданного Николаем Кокоулиным для того, чтобы нарисовать на полотне «Пикселей» логотип TJ.

Но кроме честных игроков в чате нашлись и те, кому захотелось обмануть игру. Они обнаружили, что приложение ведёт себя не совсем правильно: таймер, ограничивавший действия участников игры, исчезал при обновлении страницы.

Сначала мы подумали, что это чисто визуальный баг, а пиксели, поставленные до истечения таймера, не сохранятся. Но уловка действительно позволяла ставить новые точки, не выжидая предусмотренного правилами игры времени.

Это работало не во всех браузерах, а обновлять страницу каждый раз было как-то не очень весело, поэтому мы решили пойти дальше и убрать ограничения на стороне игрока. На скорую руку я убрал из механизма игры таймер и оформил этот патч в виде пользовательского скрипта для браузера.

У нас получилось рисовать лого быстрее. Но даже этого показалось мало, поэтому Владимир Загуляев (@quazzart) начал разработку бота, который мог бы автоматически ставить точки с большой скоростью.

Тем временем редактор TJ Александр Фаст решил устроить #резонанс и написал заметку о нашем взломе. После этого к нам в чат пришли сразу три разработчика «Пикселей». Как оказалось, они были работниками не «ВКонтакте», а компании-подрядчика — Happy Santa.

Ребята поначалу тихо следили за ходом событий, а затем начали уверять не тратить время на разработку: якобы на стороне сервера есть защита. Примерно тоже самое комментарии редакции TJ утверждала и пресс-служба «ВКонтакте».

Участники чата, конечно же, не верили этим утверждениями и постоянно спорили с разработчиками. Я сам видел, как поставленные подряд пиксели сохранялись в системе даже после обновления страницы.

Развязки этой истории ждать оставалось совсем недолго. Где-то в районе полуночи Вова закончил работу над ботом и запустил его. Программа за несколько секунд нарисовала на полотне большой логотип TJ.

Оригинал @maleg

После этого, разработчики поверили в существование бага и поспешили от него избавиться. Ребята из Happy Santa, кстати, оказались весьма приятными, а за найденную уязвимость нам с Вовой подарили толстовки «****-**** [тяп-ляп], и в продакшн». А ещё на память об уязвимости остался нарисованный логотип TJ.

Несложно заметить, что сейчас логотип TJ один из самых больших в «Пикселях» (если не считать логотипы «Лентача», Countryballs и других крупных площадок «ВКонтакте»). Однако над логотипом работает сравнительно небольшая команда, которой вряд ли бы удалось занять и в разы меньше места.

TJ не входит в топ сообществ, размещенный справа от полотна, но при этом по занимаемой площади мы примерно одинаковы, например, с Двачем, занимающий в топе третье место. Удерживать позиции нам удается благодаря смекалочке.

Мы первыми отключили таймер и быстро нарисовали логотип в самом начале игры. Мы первыми разработали бота, нарисовавшего нам новый, большой логотип.

Сейчас мы защищаем рисунок с помощью нескольких ботов и ищем новые уязвимости и оптимизируем код уже работающих механизмов. Некоторые площадки предлагали нам обменяться скриптами и аудиторией (мы помогаем рисовать им, а они — нам). Это очень нам помогло.

Пользуясь случаем, напоминаю: нам нужна помощь в защите логотипа TJ. Если вам не сложно, вступите в наш чат и скачайте актуальную версию бота. Больше людей — больше шансов остаться в игре, которая закончится уже через сутки.

#пиксели #клуб