TRON漏洞：通过耗尽内存和CPU来引发DoS

简介：单个请求向/wallet/deploycontract提交几兆字节码以及CPU密集型长解析将消耗CPU大约10分钟，同时仍然在堆中保存几兆字节码。发起足够的请求，足以使用所有可用线程来处理传入的HTTP请求，填满内存并导致产生拒绝访问。

描述：

*从一个很大的带有大指数的十进制数中获取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();这段代码大约需要2-3分钟才能在较新的macbookpro中运行完成。*/wallet/deploycontract有6个字段，它们从解析的json对象中获取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。这意味着单个请求可以使用最多12分钟的线程。*当一个线程被锁定12分钟/deploycontract时，整个字节码也会放入内存中，这会占用内存并过早地将对象从eden内存空间移动到旧的内存空间*一旦将对象移动到旧的存储空间，当指针被释放时将很难清理它们，因此GC会在尝试清理之前卡住。请注意gc日志和屏幕截图，其中内存在攻击停止后很长时间内保持在3G状态。

波场TRON联合BitTorrent与THUBA DAO达成合作伙伴关系:据最新消息，波场TRON联合BitTorrent与THUBA DAO达成合作伙伴关系。此番波场TRON与THUBA DAO的合作将有力推动区块链的“产学融合”，加速行业的普及与发展，并为行业注入更多创新活力。

THUBA DAO是由清华大学区块链协会(THUBA)成员所发起的去中心化组织。THUBA DAO致力于将Web3世界带给每一个学生，成为连接海内外区块链社区的桥梁，并培养最优秀的下一代Web青年与先锋者。

波场TRON致力于打造下一代全球互联网及金融基础设施，目前，波场公链用户总数超过1.56亿，交易笔数超54亿，总锁仓量（TVL）超123亿美元。 波场网络于2021年12月实现完全去中心化，现为由社区治理的去中心化自治组织（DAO）。[2023/4/28 14:33:19]

参考：

分析 | 近一个月EOS/ETH/TRON?Dapp总交易笔数均呈下降趋势:据RatingDapp和RatingToken大数据监测显示，最近一个月， EOS 月交易笔数大于零Dapp343款，总计交易笔数111331934，环比上月下降1.35%；ETH 月交易笔数大于零Dapp489个，总计交易笔数2092381，环比上月下降1.77%；TRON 月交易笔数大于零Dapp295个，总计交易笔数34913991，环比上月下降13.76%。[2019/5/15]

jconsole代表内存，CPU和线程的截图

声音 | TeleSUR TV：2018年底之前购买Petro只能与其他加密资产进行交易:据ccn报道，委内瑞拉主流媒体机构TeleSUR TV表示，如果在2018年底之前购买Petro只能交易其他加密资产。委内瑞拉总统 Nicolas Maduro发表讲话称：“任何在12月31日之前购买Petro的人都可以将其转换为任何其他数字货币。”[2018/11/11]

gclog来显示JVM进入无限的GC并且仍然无法释放内存

修复建议

JSONObject.parse使用Feature.UseBigDecimal.getMask;默认情况下。不使用BigDecimal会解决问题，但可能会在需要BigDecimal的其他地方引入问题。

如果整个字节码一直没有放入内存中那就好了。

影响使用单台计算机，攻击者可以向所有或51％的SR节点发起DDOS攻击，并使Tron网络无法使用。

标签：TROtronRONUBAtronlink安卓版Patronultron币种Subawu Token

BNB热门资讯