前天晚上在一个技术小群里,有人发现有些地址收到PYUSD后转走并回收了PYUSD的合约
调查之后发现是Paypal的一个毛。PYUSD是Paypal的稳定币,1:1挂钩USD
Paypal上提现PYUSD到solana链是没手续费的,这里就有毛了。 solana上如果你的钱包没有这个币,转账的时候会创建这个币的合约,创建的时候会压一些SOL在合约里(差不多0.002 SOL,值$0.5). 也就是说paypal提现到钱包 然后把pyusd转走,销毁pyusd的合约就会拿到压在合约上的SOL。 提$1,赚$0.5
所以发现这个毛的用户就开始大量提现,转移,销毁
一笔赚0.5u看起来不多,但是累计起来就多了。一些用户的钱包都累计赚了30 SOL
知道这个毛后,我手动操作了几次,发现是真实的,所以就开始写脚本批量。
Solana上的脚本比较容易写,基本就2个操作,把钱包里的PYUSD转到一个地址,然后把钱包的PYUSD合约销毁回收SOL
问题是Paypal的提现。查看了Paypal的请求,不是很容易搞定,查了一些资料都没有啥方法可以实现脚本自动化
最后只有一个方法,就是网页模拟点击。一开始用的是playwright,但是几次后,paypal检测到脚本把playwright打开的浏览器给禁了
既然playwright行不通,那就直接在打开的网页上进行模拟
这次使用一个叫Ui.Vision的插件,之前使用过,挺好用的
这个浏览器可以记录你的操作,然后自动生成操作的marco脚本
最后调试了几次,基本一套提现流程花费12秒左右,也就是说一小时可以提现300次
本来以为没啥问题了,可以躺着赚钱了。没想到paypal还有很多限制,比如:
* 每小时需要重新登录并验证
* 操作多次后可能把你的ip限制了,不能提现一段时间
* 只限美版paypal
这些限制阻止了24小时全自动化撸毛的计划,加上不是周末,自动撸毛变得艰难
今天下午午休回来的时候,再次运行脚本的时候,发现每笔提现居然多了0.49u的手续费!这也宣告了Paypal撸毛的结束
整套自动化paypal撸毛程序写完到撸毛漏洞被补上,实际运行的时间也就大概10-12小时
以为这个漏洞应该还要几周才能补上,没想到这么快,还没撸的尽兴
看看下次还有没有这样的机会吧