HamsterKombatBot icon indicating copy to clipboard operation
HamsterKombatBot copied to clipboard
Published 1 year ago verified publisher icon shamhi

В хомяке добавили новую мини игру Merge Away

Open krot12345 opened this issue 1 year ago • 118 comments

https://hamsterkey-merge.netlify.app/

krot12345 avatar Aug 15 '24 07:08 krot12345

token и promoId?

aboange avatar Aug 15 '24 08:08 aboange

Вот такой тип кода там MERGE-Z2F-KM8R-YV86-8QZ

krot12345 avatar Aug 15 '24 08:08 krot12345

token и promoId?

Да

analnbliDeboshir avatar Aug 15 '24 08:08 analnbliDeboshir

Вот такой тип кода там MERGE-Z2F-KM8R-YV86-8QZ

whats merge away token ?

pars102 avatar Aug 15 '24 08:08 pars102 

{
    'name': 'MergeAway',
    'token': '8d1cc2ad-e097-4b86-90ef-7a27e19fb833',
    'promo': 'dc128d28-c45b-411c-98ff-ac7726fbaea4',
    'interval': 20
}

yurii-zadryhun avatar Aug 15 '24 08:08 yurii-zadryhun 

{
    'name': 'MergeAway',
    'token': '8d1cc2ad-e097-4b86-90ef-7a27e19fb833',
    'promo': 'dc128d28-c45b-411c-98ff-ac7726fbaea4',
    'interval': 20
}

thanks its work , may i know how you find the token ?

pars102 avatar Aug 15 '24 08:08 pars102

thanks its work , may i know how you find the token ?

  1. download xapk from apkpure or apkcombo
  2. convert xapk to apk
  3. lookup

in this case, it was in the assets/bundled/ed37651/js/play.js file

yurii-zadryhun avatar Aug 15 '24 08:08 yurii-zadryhun

thanks its work , may i know how you find the token ?

  1. download xapk from apkpure or apkcombo

  2. convert xapk to apk

  3. lookup

in this case, it was in the assets/bundled/ed37651/js/play.js file

Could you explain why xapk is the one that can't be downloaded from the play market right away? And how exactly are you looking for it, I thought I'd try using a sniffer (the ai advised)

satrunjis avatar Aug 15 '24 08:08 satrunjis

game.js.zip

andrei010084 avatar Aug 15 '24 08:08 andrei010084

game.js.zip

node game 1 for BIKE node game 2 for CUBE node game 3 for CLONE node game 4 for TRAIN node game 5 for MERGE

andrei010084 avatar Aug 15 '24 08:08 andrei010084

Could you explain why xapk is the one that can't be downloaded from the play market right away? And how exactly are you looking for it, I thought I'd try using a sniffer (the ai advised)

  1. In the result, you need an APK file. It doesn't matter how you receive it. There are lots of ways. For example, you can install the app on your Android system and then extract the apk. Or you can download it from 4pda/apkpure/apkcombo/any other websites. The only thing is that if it's xapk, you need to convert it to apk.

  2. Once you have the apk, you can use any tools to search for the promo. My usual steps are:

    1. Extract the apk file
    2. Open the mc (midnight commander) in terminal
    3. Open the app folder
    4. Check if it's a unity app
      1. If so, open the global-metadata.dat and go to the step 5
      2. If not, go through the files that potentially contain the token that we need, and apply step 5 for each file until success
    5. Search for the token in a file. There are several ways... 2 of them are:
      1. Search for "promo" work and check the context. Somewhere around it, there may be a token.
      2. Search for uuid4 in lowercase

  3. Of course, you can use a sniffer if it's possible to decrypt the traffic. But I prefer to start with this ^ approach and try some sniffer only if it fails.

yurii-zadryhun avatar Aug 15 '24 09:08 yurii-zadryhun

thanks its work , may i know how you find the token ?

1. download xapk from apkpure or apkcombo

2. convert xapk to apk

3. lookup

in this case, it was in the assets/bundled/ed37651/js/play.js file

Какой то ты слишком активный. Засланный что ли?

andrei010084 avatar Aug 15 '24 09:08 andrei010084

Какой то ты слишком активный. Засланный что ли?

Have no brain to write something smart? Don't write.

yurii-zadryhun avatar Aug 15 '24 09:08 yurii-zadryhun

Have no brain to write something smart? Don't write.

Пиши на мове. Я же знаю откуда ты.

andrei010084 avatar Aug 15 '24 09:08 andrei010084

Есть у кого код на Python?

Alex22891 avatar Aug 15 '24 10:08 Alex22891

https://hamsterkey-merge.netlify.app/

krot12345 avatar Aug 15 '24 10:08 krot12345

gameKey.zip Передал выше скрипт, чтобы разом генерировалось для всех игр.

Сначала закидываете файл в папку, после заходите в cmd, с помощью cd /путь до папки, далее пишите npm i axios. После установки axios, достаточно написать node gameKey.js

Возможна будет ошибка 400, просто смените IP-адрес. Так как есть ограничение запросов с одного IP-адреса

Alex22891 avatar Aug 15 '24 10:08 Alex22891

Добавил в tapper.py 300-301 строчка {"app_token": "8d1cc2ad-e097-4b86-90ef-7a27e19fb833", "promo_id": "dc128d28-c45b-411c-98ff-ac7726fbaea4"},

Bonch72 avatar Aug 15 '24 11:08 Bonch72

https://hamsterkey-merge.netlify.app/

Прямая дорога в бан использовать это поделие.

Для начала немного вводных. (если будут читать те кто не в теме)

Получение кодов для хомяка везде работает через своего рода эмуляцию Процесса игры и получение этих кодов на сайте api.gamepromo.io:

  1. Сначала выполняется запрос токена процесса игры
  2. Потом с этим токеном раз в сколько-то секунд дергается запрос Прогресса в игре
  3. Когда на прогресс игры пришел ответ что код готов - дергается третий запрос получения кода

Не видел ни одного решения которые бы выдавали код моментально с помощью какого-либо алгоритма.

Это значит что каждый полученый код логируется в системе api.gamepromo.io сохраняя некоторую информацию о том, кто запрашивает:

  • IP пользователя с устройства которого улетел запрос
  • Referer/Origin - сайт с которого дернули запрос
  • User Agent - информация о самом устройстве
  • И другие заголовки которые можно анализировать и дополнительно ждать при запросе

Распространенные ошибки генераторов

  1. Запрашивать сразу 4 кода параллельно с одного IP адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP
  2. Запрашивать api.gamepromo.io c сайта генератора тем самы передавая в него в заголовках Origin/Referer сайт типа “https://hamsterkey-merge.netlify.app“ - тем самым говоря - я прошу код с какого то хрен пойми какого сайта
  3. Не подменять браузерный User Agent, на User Agent мобильного устройства - игрульки то работают на нативных мобильных приложухах, а генераторы работают внутри браузеров

Резюмирую: Можно не делать этих ошибок и минимизировать простые способы себя подставить. Но быть полностью уверенным в безопасности того или иного генератора нельзя потому что можно все равно попасть в бан не отправив “нужного секретного заголовка”

AndrewNovikof avatar Aug 15 '24 11:08 AndrewNovikof

Добавил в tapper.py 300-301 строчка {"app_token": "8d1cc2ad-e097-4b86-90ef-7a27e19fb833", "promo_id": "dc128d28-c45b-411c-98ff-ac7726fbaea4"},

У меня с 288 по 294 строки, словарь с "промо" : "токен" игр - app_tokens = { "fe693b26-b342-4159-8808-15e3ff7f8767": "74ee0b5b-775e-4bee-974f-63e7f4d5bacb", "b4170868-cef0-424f-8eb9-be0622e8e8e3": "d1690a07-3780-4068-810f-9b5bbf2931b2", "c4480ac7-e178-4973-8061-9ed5b2e17954": "82647f43-3f87-402d-88dd-09a90025313f", "43e35910-c168-4634-ad4f-52fd764a843f": "d28721be-fd2d-4b45-869e-9f253b554e50", "dc128d28-c45b-411c-98ff-ac7726fbaea4": "8d1cc2ad-e097-4b86-90ef-7a27e19fb833" }

mlcni avatar Aug 15 '24 11:08 mlcni

https://hamsterkey-merge.netlify.app/

Прямая дорога в бан использовать это поделие.

Для начала немного вводных. (если будут читать те кто не в теме)

Получение кодов для хомяка везде работает через своего рода эмуляцию Процесса игры и получение этих кодов на сайте api.gamepromo.io:

  1. Сначала выполняется запрос токена процесса игры
  2. Потом с этим токеном раз в сколько-то секунд дергается запрос Прогресса в игре
  3. Когда на прогресс игры пришел ответ что код готов - дергается третий запрос получения кода

Не видел ни одного решения которые бы выдавали код моментально с помощью какого-либо алгоритма.

Это значит что каждый полученый код логируется в системе api.gamepromo.io сохраняя некоторую информацию о том, кто запрашивает:

  • IP пользователя с устройства которого улетел запрос
  • Referer/Origin - сайт с которого дернули запрос
  • User Agent - информация о самом устройстве
  • И другие заголовки которые можно анализировать и дополнительно ждать при запросе

Распространенные ошибки генераторов

  1. Запрашивать сразу 4 кода параллельно с одного IP адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP
  2. Запрашивать api.gamepromo.io c сайта генератора тем самы передавая в него в заголовках Origin/Referer сайт типа “https://hamsterkey-merge.netlify.app“ - тем самым говоря - я прошу код с какого то хрен пойми какого сайта
  3. Не подменять браузерный User Agent, на User Agent мобильного устройства - игрульки то работают на нативных мобильных приложухах, а генераторы работают внутри браузеров

Резюмирую: Можно не делать этих ошибок и минимизировать простые способы себя подставить. Но быть полностью уверенным в безопасности того или иного генератора нельзя потому что можно все равно попасть в бан не отправив “нужного секретного заголовка”

Ну не играть же в это гауноу))

Bonch72 avatar Aug 15 '24 11:08 Bonch72

https://hamsterkey-merge.netlify.app/

Прямая дорога в бан использовать это поделие.

Для начала немного вводных. (если будут читать те кто не в теме)

Получение кодов для хомяка везде работает через своего рода эмуляцию Процесса игры и получение этих кодов на сайте api.gamepromo.io:

  1. Сначала выполняется запрос токена процесса игры
  2. Потом с этим токеном раз в сколько-то секунд дергается запрос Прогресса в игре
  3. Когда на прогресс игры пришел ответ что код готов - дергается третий запрос получения кода

Не видел ни одного решения которые бы выдавали код моментально с помощью какого-либо алгоритма.

Это значит что каждый полученый код логируется в системе api.gamepromo.io сохраняя некоторую информацию о том, кто запрашивает:

  • IP пользователя с устройства которого улетел запрос
  • Referer/Origin - сайт с которого дернули запрос
  • User Agent - информация о самом устройстве
  • И другие заголовки которые можно анализировать и дополнительно ждать при запросе

Распространенные ошибки генераторов

  1. Запрашивать сразу 4 кода параллельно с одного IP адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP
  2. Запрашивать api.gamepromo.io c сайта генератора тем самы передавая в него в заголовках Origin/Referer сайт типа “https://hamsterkey-merge.netlify.app“ - тем самым говоря - я прошу код с какого то хрен пойми какого сайта
  3. Не подменять браузерный User Agent, на User Agent мобильного устройства - игрульки то работают на нативных мобильных приложухах, а генераторы работают внутри браузеров

Резюмирую: Можно не делать этих ошибок и минимизировать простые способы себя подставить. Но быть полностью уверенным в безопасности того или иного генератора нельзя потому что можно все равно попасть в бан не отправив “нужного секретного заголовка”

А у вас есть для всех игр реальные примеры заголовков запросов к серверу хомяка?

hosegomez avatar Aug 15 '24 12:08 hosegomez

  1. Запрашивать сразу 4 кода параллельно с одного IP адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP

ЛЕГКО! Запряг жену и детей играть в игры и коды собирать. Мы все подключены к одному вайфаю. Что, зря я 15 детей нарожал? Раньше их рожали чтоб они картошку копать помогали, сейчас дети нужны, чтобы в тапалки играть. Прогресс!

А вообще пох. Забанят так забанят. Они так затягивают с дропом, что только безумцы будут руками это делать. Но да, юзаю только свои скрипты.

WeendVidente777 avatar Aug 15 '24 12:08 WeendVidente777

А у вас есть для всех игр реальные примеры заголовков запросов к серверу хомяка?

Ну не играть же в это гауноу))

Нет, играть не обязательно - не стоит пользоваться откровенно плохими решениями типа https://hamsterkey-merge.netlify.app/ - где все ошибки собраны в одном месте

Можно генерить этим питоновским ботом, тут хотя бы Оригин и Реферер не светится Левый и логика не генерит параллельно ключи по 4 штуки за раз

Можно использовать https://tapahelper.com/games/hamster_kombat вот этот сайт, тут поход в апи Promo идет через nginx proxy, который подменяет некоторые заголовки и не дает генерить пачками

НО опять же, нет уверенности вероятности что и бота на питоне и сайт Выше не определят по другим признакам.

AndrewNovikof avatar Aug 15 '24 12:08 AndrewNovikof

https://hamsterkey-merge.netlify.app/

Прямая дорога в бан использовать это поделие.

Для начала немного вводных. (если будут читать те кто не в теме)

Получение кодов для хомяка везде работает через своего рода эмуляцию Процесса игры и получение этих кодов на сайте api.gamepromo.io:

1. Сначала выполняется запрос токена процесса игры

2. Потом с этим токеном раз в сколько-то секунд дергается запрос Прогресса в игре

3. Когда на прогресс игры пришел ответ что код готов - дергается третий запрос получения кода

Не видел ни одного решения которые бы выдавали код моментально с помощью какого-либо алгоритма.

Это значит что каждый полученый код логируется в системе api.gamepromo.io сохраняя некоторую информацию о том, кто запрашивает:

* IP пользователя с устройства которого улетел запрос

* Referer/Origin - сайт с которого дернули запрос

* User Agent - информация о самом устройстве

* И другие заголовки которые можно анализировать и дополнительно ждать при запросе

Распространенные ошибки генераторов

1. Запрашивать сразу 4 кода параллельно с одного IP  адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP

2. Запрашивать api.gamepromo.io c сайта генератора тем самы передавая в него в заголовках Origin/Referer сайт типа “[https://hamsterkey-merge.netlify.app“](https://hamsterkey-merge.netlify.app%E2%80%9C) - тем самым говоря - я прошу код с какого то хрен пойми какого сайта

3. Не подменять браузерный User Agent, на User Agent мобильного устройства - игрульки то работают на нативных мобильных приложухах, а генераторы работают внутри браузеров

Резюмирую: Можно не делать этих ошибок и минимизировать простые способы себя подставить. Но быть полностью уверенным в безопасности того или иного генератора нельзя потому что можно все равно попасть в бан не отправив “нужного секретного заголовка”

На одном ip могут быть сотни игроков в любом публичном месте где есть бесплатные точки доступа. Здравомыслящий человек пользуется скриптом на смартфоне, поэтому запросы выглядят максимально правдоподобно. Хомяк уже настолько надоел всем, что никого уже не пугает блокировка. Большинство игроков уже вводили ключи не из игры раньше и продолжат это делать, сами того не понимая. Если начнутся блокировки, миллионы хомяков просто похоронят проект, никто не захочет связываться с этим токеном. Поэтому ждём апогей этой мыльной оперы.

andrei010084 avatar Aug 15 '24 13:08 andrei010084

Технических возможностей побрить ботоводов масса, но непонятно для чего? Чтобы статистику себе испортить? Одно дело припугнуть хомяков в официальном канале, чтобы они не отлынивали от просмотра рекламы, а другое дело реально что-то делать. А-то можно в один прекрасный день обнаружить, что аудитория сократилась на порядки, и от хайпа не осталось и следа. Если бы "генераторов" кодов не было, то их стоило бы придумать. Чтобы замучанные рекламой хомяки не забрасывали тапалку, а стабильно заходили и вводили кодики, повышая DAU, MAU и прочие "АУ", видя которые менеджеры говорят "ВАУ"

Fiacko avatar Aug 15 '24 14:08 Fiacko

Технических возможностей побрить ботоводов масса, но непонятно для чего? Чтобы статистику себе испортить? Одно дело припугнуть хомяков в официальном канале, чтобы они не отлынивали от просмотра рекламы, а другое дело реально что-то делать. А-то можно в один прекрасный день обнаружить, что аудитория сократилась на порядки, и от хайпа не осталось и следа. Если бы "генераторов" кодов не было, то их стоило бы придумать. Чтобы замучанные рекламой хомяки не забрасывали тапалку, а стабильно заходили и вводили кодики, повышая DAU, MAU и прочие "АУ", видя которые менеджеры говорят "ВАУ"

я когда то немного занимался скриптами для эйрдропов, еще когад их за активности на тестнетах давали. Там аргументация такая, что создатели токена хотят, чтобы их токен был на как можно большем количестве реальных, активных кошельков, а не сосредотачивался у нескольких ботоводов. Я хз насколько это имеет смысл. Просто что мне говорили, то передаю.

WeendVidente777 avatar Aug 15 '24 14:08 WeendVidente777

https://hamsterkey-merge.netlify.app/

Прямая дорога в бан использовать это поделие.

Для начала немного вводных. (если будут читать те кто не в теме)

Получение кодов для хомяка везде работает через своего рода эмуляцию Процесса игры и получение этих кодов на сайте api.gamepromo.io:

  1. Сначала выполняется запрос токена процесса игры
  2. Потом с этим токеном раз в сколько-то секунд дергается запрос Прогресса в игре
  3. Когда на прогресс игры пришел ответ что код готов - дергается третий запрос получения кода

Не видел ни одного решения которые бы выдавали код моментально с помощью какого-либо алгоритма.

Это значит что каждый полученый код логируется в системе api.gamepromo.io сохраняя некоторую информацию о том, кто запрашивает:

  • IP пользователя с устройства которого улетел запрос
  • Referer/Origin - сайт с которого дернули запрос
  • User Agent - информация о самом устройстве
  • И другие заголовки которые можно анализировать и дополнительно ждать при запросе

Распространенные ошибки генераторов

  1. Запрашивать сразу 4 кода параллельно с одного IP адреса - ты не можешь играть одновременно во все игры сразу или в 4 потока в одну игру с одного IP
  2. Запрашивать api.gamepromo.io c сайта генератора тем самы передавая в него в заголовках Origin/Referer сайт типа “https://hamsterkey-merge.netlify.app“ - тем самым говоря - я прошу код с какого то хрен пойми какого сайта
  3. Не подменять браузерный User Agent, на User Agent мобильного устройства - игрульки то работают на нативных мобильных приложухах, а генераторы работают внутри браузеров

Резюмирую: Можно не делать этих ошибок и минимизировать простые способы себя подставить. Но быть полностью уверенным в безопасности того или иного генератора нельзя потому что можно все равно попасть в бан не отправив “нужного секретного заголовка”

Чушь для дошкольников. Объем бд будет в сотни терабайт для хранения логов. А у них даже GA не работает, так как там лимит 2 миллиарда хитов и они ничего не смогли другого прикрутить. В целом им вообще плевать, главной напугать откровенно тупых, дабы они рекламу смотрели. При дропе, тебе никто не раздаёт денег, это просто токены, стоимость которых определит рынок. А учитывая, что хомяке 80% школотроны и объем эмиссии огромен - стоимость его будет ~ 0. Не зря они рекламку крутят, на токенах они заработали бы 0

lolyinseo avatar Aug 15 '24 17:08 lolyinseo

Технических возможностей побрить ботоводов масса, но непонятно для чего? Чтобы статистику себе испортить? Одно дело припугнуть хомяков в официальном канале, чтобы они не отлынивали от просмотра рекламы, а другое дело реально что-то делать. А-то можно в один прекрасный день обнаружить, что аудитория сократилась на порядки, и от хайпа не осталось и следа. Если бы "генераторов" кодов не было, то их стоило бы придумать. Чтобы замучанные рекламой хомяки не забрасывали тапалку, а стабильно заходили и вводили кодики, повышая DAU, MAU и прочие "АУ", видя которые менеджеры говорят "ВАУ"

я когда то немного занимался скриптами для эйрдропов, еще когад их за активности на тестнетах давали. Там аргументация такая, что создатели токена хотят, чтобы их токен был на как можно большем количестве реальных, активных кошельков, а не сосредотачивался у нескольких ботоводов. Я хз насколько это имеет смысл. Просто что мне говорили, то передаю.

А если кошельки и аккаунты реальные, но используется бот, для рутинных действий?

mlcni avatar Aug 15 '24 17:08 mlcni

Технических возможностей побрить ботоводов масса, но непонятно для чего? Чтобы статистику себе испортить? Одно дело припугнуть хомяков в официальном канале, чтобы они не отлынивали от просмотра рекламы, а другое дело реально что-то делать. А-то можно в один прекрасный день обнаружить, что аудитория сократилась на порядки, и от хайпа не осталось и следа. Если бы "генераторов" кодов не было, то их стоило бы придумать. Чтобы замучанные рекламой хомяки не забрасывали тапалку, а стабильно заходили и вводили кодики, повышая DAU, MAU и прочие "АУ", видя которые менеджеры говорят "ВАУ"

я когда то немного занимался скриптами для эйрдропов, еще когад их за активности на тестнетах давали. Там аргументация такая, что создатели токена хотят, чтобы их токен был на как можно большем количестве реальных, активных кошельков, а не сосредотачивался у нескольких ботоводов. Я хз насколько это имеет смысл. Просто что мне говорили, то передаю.

А если кошельки и аккаунты реальные, но используется бот, для рутинных действий?

ну это ж не люди ловят, а скрипты. Смотрят просто по подозрительной активности. А если чужие скрипты юзаешь, и популярные, хоть и для одного аккауна, то по паттернам ты будешь похож на кучу других людей, которые этот же скрипт юзают. То есть вы все можете расцениваться как одна большая ботоферма. Потому я юзаю только свои скрипты, везде где можно рандомизирую все, иногда даже в ущерб производительности.

Если у тебя пара аккаунтов, свои оригинальные скрипты, то думаю шанс быть забаненым минимальный.

АПД. НУ и профессиональные промышленные дроп-хантеры нанимают макак и как минимум 20 процентов аккаунтов прогоняют вручную. Чтоб на случай если побреют получить хоть что то. То есть если у вас 5 аккаунтов, то один хотя бы делайте руками. Но сам я так не делаю. Я слишком ленивый и не жадный.

WeendVidente777 avatar Aug 15 '24 17:08 WeendVidente777