mercs.pro — Web3 Security Audit

Что проверяем

Recon — стек, Privy app-id, RPC-прокси, API-маршруты, CSP, ключи в бандле
Auth / сессии — Privy-login обмен, флаги cookie (HttpOnly/Secure/SameSite)
IDOR — перебор чужих ID, обходы пути, спуфинг заголовков
CORS / CSRF — origin-lock на запись, матрица Origin/Referer
JWT — alg=none, пустой секрет, alg-confusion, kid/jku-инъекции
Rate / race — гонка ротации refresh-токена, троттлинг POST
Prototype pollution — __proto__ на PATCH/POST, эскалация роли
RPC-proxy abuse — origin/allowlist/лимиты на чужой Helius/Quicknode
Withdraw flow — replay submit, подмена to_address / ATA / mint, durable-nonce
Secrets в JS — pk_live_, sk_live_, ключи, скрытые admin-пути

Заявка на аудит

URL приложения (URL или APK ниже) APK-файл приложения (вместо URL) 📦 Можно приложить .apk вместо URL — мы декомпилируем его и проверим. До 200 МБ. Контакт для связи * Скоуп / что важно проверить (опц.) Тестовые креды (опц.) ⚠️ Присылайте только тестовые учётки/кошельки. Креды хранятся в БД и используются исключительно для аудита. Я владею этим приложением или уполномочен заказать его тестирование. Я даю согласие на проведение security-аудита перечисленных эндпоинтов. *