VALUE:TRON漏洞：通过耗尽内存和CPU来引发DoS

简介：单个请求向/wallet/deploycontract提交几兆字节码以及CPU密集型长解析将消耗CPU大约10分钟，同时仍然在堆中保存几兆字节码。发起足够的请求，足以使用所有可用线程来处理传入的HTTP请求，填满内存并导致产生拒绝访问。

描述：

*从一个很大的带有大指数的十进制数中获取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();这段代码大约需要2-3分钟才能在较新的macbookpro中运行完成。*/wallet/deploycontract有6个字段，它们从解析的json对象中获取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。这意味着单个请求可以使用最多12分钟的线程。*当一个线程被锁定12分钟/deploycontract时，整个字节码也会放入内存中，这会占用内存并过早地将对象从eden内存空间移动到旧的内存空间*一旦将对象移动到旧的存储空间，当指针被释放时将很难清理它们，因此GC会在尝试清理之前卡住。请注意gc日志和屏幕截图，其中内存在攻击停止后很长时间内保持在3G状态。

Electronics Hub：Cash App或是世界上最讨厌的加密应用程序:金色财经报道，据Electronics Hub发布的一项调研报告显示，Jack Dorsey拥有的加密支付公司Block旗下移动应用Cash APP是美国、加拿大和巴西等多达29个国家最讨厌的加密应用程序；排名第二的是BlockFi，该加密借贷应用在新加坡和直布罗陀等16个国家引起了负面情绪。Kraken在西班牙、斯洛文尼亚等7个国家令当地用户感到庅，Xapo、Uphold、Voyager、Bisq、Gemini也进入了最不受欢迎的加密货币应用列表。另外在美国市场，人们最反感的5个加密应用分别是：Uphold、Cash App、CoinMama、Voyager和Luno。[2022/9/1 13:02:09]

参考：

波场TRON已有超级代表及候选人310名，投票数量突破332亿:3月12日，根据TRONSCAN波场区块链浏览器最新数据显示，波场TRON目前已有超级代表及候选人310名，总投票数为33,234,078,972，突破332亿。目前，超级代表Binance位居第一，实时得票为9,906,490,045。[2021/3/12 18:39:17]

jconsole代表内存，CPU和线程的截图

动态 | 跨ETH/EOS/TRON三大公链 DApp活跃度排行榜:据 DAppTotal 03月11日数据显示，过去一周，综合对比ETH、EOS、TRON三大公链的DApp生态情况发现: 总用户量(个): EOS(133,799) > TRON(94,301) > ETH(34,005)；总交易次数(笔): EOS(17,400,369) > TRON(10,653,820) > ETH(373,038)；总交易额(美元): TRON(191,119,556) > EOS(103,859,844) > ETH(22,504,316)；跨三条公链按用户量TOP3 DApps为: Endless Game(EOS)、BingoBet(EOS)、PRA CandyBox(EOS)；按交易次数TOP3 DApps分别为 TRONbet(TRON)、Dice(EOS)、EOS Knights(EOS)；按交易额TOP3 DApps分别为: TRONbet(TRON)、Poker EOS(EOS)、EOSJacks(EOS)。[2019/3/11]

gclog来显示JVM进入无限的GC并且仍然无法释放内存

修复建议

JSONObject.parse使用Feature.UseBigDecimal.getMask;默认情况下。不使用BigDecimal会解决问题，但可能会在需要BigDecimal的其他地方引入问题。

如果整个字节码一直没有放入内存中那就好了。

影响使用单台计算机，攻击者可以向所有或51％的SR节点发起DDOS攻击，并使Tron网络无法使用。

标签：CONVALALUVALUEBaby Falcon DogeVALUE价格valuechainVALUE价格

NEAR热门资讯