JinxExploiter/Crypto-Node-Exploit-ChangeNOW

# 🔥 ChangeNOW Node v1.9 – 37% Swap Exploit (Proof of Concept) ## 🚨 这是什么？ 我发现 **ChangeNOW node v1.9**（仍被 `stealthex.io` 使用）存在一个 **37% 汇率计算错误**，可以通过简单的 JavaScript 注入触发。此 PoC 展示了该 exploit 的运作原理——以及为什么永远不要信任未经审计的 swap 节点。 **现场演示与完整文章 👉 [点击此处](https://alessandroroveadorkeyeresearchteam.blogspot.com/)** *(链接指向包含视频的分步指南)* ## 🧪 技术概述 该漏洞位于 ChangeNOW 节点模块（版本 1.9）遗留的 `calculateRate` 函数中。当通过浏览器控制台注入特定 payload 时，该节点会错误地对接收金额应用 **37% 的乘数**。 - **受影响端点**: `https://stealthex.io/swap` - **Node 版本**: `1.9`（已弃用但仍被某些前端使用） - **Exploit 向量**: `javascript:` URL 执行 - **影响**: 每次 swap 额外获得 37% 的 crypto ## 📸 证据 / Demo 下面是一个在 exploit 前后进行测试 swap 的 YouTube 视频。请注意输出金额的差异。 在 YouTube 上观看完整视频演示： [](https://www.youtube.com/watch?v=t90SZv5oT5Q) ## ⚙️ 如何复现（教育沙盒） 1. 访问 `stealthex.io` 2. javascript: URL 执行 3. 在阅读完博客文章*之后*，将以下内容粘贴到控制台： // 这是一个占位符 – 真正的 payload 在博客中有解释 console.log("查看博客获取完整代码: https://alessandroroveadorkeyeresearchteam.blogspot.com/"); ## 🌐 链接与资源 https://alessandroroveadorkeyeresearchteam.blogspot.com https://changenow.io/ https://stealthex.io/ ## ⭐ 如果你觉得这个仓库具有教育意义，请点 Star！ 🔔 关注更新——未来我可能会添加更多 PoC。

标签：ChangeNOW, DeFi, ESC8, GNU通用公共许可证, JavaScript注入, MITM代理, Node.js, PoC, StealthEX, Web安全, 加密货币, 数据可视化, 暴力破解, 概念验证, 汇率操纵, 浏览器控制台, 社会工程学, 网络安全, 自定义脚本, 蓝队分析, 蜜罐, 证书利用, 诈骗预警, 逻辑漏洞, 金融安全, 隐私保护, 非法获利