TRON漏洞：通過耗盡內存和CPU來引發DoS_tron

簡介：單個請求向/wallet/deploycontract提交幾兆字節碼以及CPU密集型長解析將消耗CPU大約10分鐘，同時仍然在堆中保存幾兆字節碼。發起足夠的請求，足以使用所有可用線程來處理傳入的HTTP請求，填滿內存并導致產生拒絕訪問。

描述：

*從一個很大的帶有大指數的十進制數中獲取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();這段代碼大約需要2-3分鐘才能在較新的macbookpro中運行完成。*/wallet/deploycontract有6個字段，它們從解析的json對象中獲取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。這意味著單個請求可以使用最多12分鐘的線程。*當一個線程被鎖定12分鐘/deploycontract時，整個字節碼也會放入內存中，這會占用內存并過早地將對象從eden內存空間移動到舊的內存空間*一旦將對象移動到舊的存儲空間，當指針被釋放時將很難清理它們，因此GC會在嘗試清理之前卡住。請注意gc日志和屏幕截圖，其中內存在攻擊停止后很長時間內保持在3G狀態。

Electroneum成為歐洲區塊鏈組織第十名成員:金色財經報道，加密支付網絡Electroneum（ETN）已成為歐洲區塊鏈（Blockchain for Europe）第十名成員。該組織還包括Ripple和Cardano等其他成員，致力于區塊鏈推廣和教育，幫助歐盟保持在全球創新前沿。[2020/10/10]

參考：

波場TRON網絡下的DEFI平臺DeLoan開啟公測階段:據官方最新消息，波場TRON網絡下的DEFI平臺DeLoan開啟公測階段，誠邀用戶體驗，公測環境是部署在尼羅河測試網對應的TRONSCAN瀏覽器。DeLoan是TRON上去中心的TRX抵押存幣獲利平臺，在這個平臺上，用戶可以通過抵押TRX資產，借出穩定幣CRD。CRD的作用類似USDT，只不過生成的方式是去中心化的。CRD的價格也像USDT一樣軟錨定在1美元, 未來同樣可以用CRD去購買例如BTC、ETH 等其他幣種。為了更好的去中心化治理DeLoan平臺，DLN用于DeLoan系統的治理。鎖定DLN可以對DeLoan治理提案進行投票。此外，DLN也用于支付抵押服務的手續費。DeLoan平臺的出現，可以大大增加波場TRON生態的豐富度，促進生態的繁榮。公測鏈接點擊原文。[2020/1/17]

jconsole代表內存，CPU和線程的截圖

聲音 | 慢霧余弦：以太坊Mist瀏覽器當時選型Electron做瀏覽器是很悲催的決定:慢霧余弦發微博表示，以太坊Mist瀏覽器決定關停的一個重要原因確實是“安全考慮”，他們當時選型Electron（基于Chromium和Node.js的）來做瀏覽器確實是個很悲催的決定，Electron本身對許多0day的修復速度就很慢，JavaScript世界的安全問題又很多，而Mist定位的核心部分是錢包+DApp瀏覽，這導致許多安全風險容易放大甚至失控，導致Mist不得不費很多不必要的精力在Electron本身的安全問題上，還不如放棄、重建。[2019/3/25]

gclog來顯示JVM進入無限的GC并且仍然無法釋放內存

修復建議

JSONObject.parse使用Feature.UseBigDecimal.getMask;默認情況下。不使用BigDecimal會解決問題，但可能會在需要BigDecimal的其他地方引入問題。

如果整個字節碼一直沒有放入內存中那就好了。

影響使用單臺計算機，攻擊者可以向所有或51％的SR節點發起DDOS攻擊，并使Tron網絡無法使用。

Tags：tronTRORONECTtronlink怎么充值AstronautTORONTO價格VECT價格

FIL幣