TRON漏洞：通過耗盡內存和CPU來引發DoS_RON

簡介：單個請求向/wallet/deploycontract提交幾兆字節碼以及CPU密集型長解析將消耗CPU大約10分鐘，同時仍然在堆中保存幾兆字節碼。發起足夠的請求，足以使用所有可用線程來處理傳入的HTTP請求，填滿內存并導致產生拒絕訪問。

描述：

*從一個很大的帶有大指數的十進制數中獲取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();這段代碼大約需要2-3分鐘才能在較新的macbookpro中運行完成。*/wallet/deploycontract有6個字段，它們從解析的json對象中獲取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。這意味著單個請求可以使用最多12分鐘的線程。*當一個線程被鎖定12分鐘/deploycontract時，整個字節碼也會放入內存中，這會占用內存并過早地將對象從eden內存空間移動到舊的內存空間*一旦將對象移動到舊的存儲空間，當指針被釋放時將很難清理它們，因此GC會在嘗試清理之前卡住。請注意gc日志和屏幕截圖，其中內存在攻擊停止后很長時間內保持在3G狀態。

NFT平臺Curio和InTrove合作拍賣忍者神龜漫畫NFT，底價75000美元:9月15日消息，NFT創建平臺Curio宣布與NFT收藏品平臺InTrove合作拍賣4枚忍者神龜漫畫NFT，此次拍賣開始于太平洋標準時間9月13日上午10點，此后持續一周。拍賣底價為75,000美元，所有投標都將以美元為計價單位。[2021/9/15 23:26:27]

參考：

JUST支持波場TRON 2021全球DeFi Hackathon開發者大賽:據最新消息顯示，JUST基金會正式支持波場TRON 2021全球DeFi Hackathon 千萬美金開發者大賽，波場TRON開發者大賽即將如期舉辦，JUST將攜手去中心化金融生態：JustStable、JustLink、JustLend、JustSwap、跨鏈資產BTCTRON、ETHTRON 等優質項目產品發揮自身優勢全力支持波場TRON2021 Hackathon大賽，大賽將于2021年2月5日（香港時間）開啟報名，千萬美金等大家來領，共創波場TRON生態繁榮。[2021/2/3 18:49:15]

jconsole代表內存，CPU和線程的截圖

波場TRON總賬戶數突破680萬:7月15日，根據TRONSCAN波場區塊鏈瀏覽器最新數據顯示，波場TRON總賬戶數達到6,848,390，突破680萬。波場TRON各項數據平穩增長，波場生態逐漸強大的同時，也將迎來更多交易量。[2020/7/15]

gclog來顯示JVM進入無限的GC并且仍然無法釋放內存

修復建議

JSONObject.parse使用Feature.UseBigDecimal.getMask;默認情況下。不使用BigDecimal會解決問題，但可能會在需要BigDecimal的其他地方引入問題。

如果整個字節碼一直沒有放入內存中那就好了。

影響使用單臺計算機，攻擊者可以向所有或51％的SR節點發起DDOS攻擊，并使Tron網絡無法使用。

Tags：TRORONtronUSTDextrosaffron.financetronlink波寶錢包官網trustwallet下載錢包官網

火幣網下載官方app