CON:TRON漏洞：通过耗尽内存和CPU来引发DoS_Value Finance

简介：单个请求向/wallet/deploycontract提交几兆字节码以及CPU密集型长解析将消耗CPU大约10分钟，同时仍然在堆中保存几兆字节码。发起足够的请求，足以使用所有可用线程来处理传入的HTTP请求，填满内存并导致产生拒绝访问。

描述：

*从一个很大的带有大指数的十进制数中获取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();这段代码大约需要2-3分钟才能在较新的macbookpro中运行完成。*/wallet/deploycontract有6个字段，它们从解析的json对象中获取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。这意味着单个请求可以使用最多12分钟的线程。*当一个线程被锁定12分钟/deploycontract时，整个字节码也会放入内存中，这会占用内存并过早地将对象从eden内存空间移动到旧的内存空间*一旦将对象移动到旧的存储空间，当指针被释放时将很难清理它们，因此GC会在尝试清理之前卡住。请注意gc日志和屏幕截图，其中内存在攻击停止后很长时间内保持在3G状态。

波场TRON官方首个挖矿项目太阳币SUN已得到众多交易所的支持:据最新消息，波场TRON官方首个挖矿项目太阳币SUN现已得到火币、OKEx、KuCoin、P网Poloniex、抹茶MXC、BitZ、BKEK、BitForex、LBank交易所的支持。据悉，太阳币SUN的定位是波场上的比特币，零VC投资，零私募投资，零预挖，零团队预留，完全依靠社区与开源智能合约。太阳币SUN已于9月2日正式开启创世挖矿，太阳币SUN挖矿请遵守官网的指示公告，支持TronLink、imtoken、Tokenpocket、Bitpie等钱包。[2020/9/11]

参考：

Gate.io将于今日先后开通COCOS/USDT和TROY/USDT交易服务:据官方公告，Gate.io第十七期Cocos-BCX VS Troy Trade投票上币活动结束，本次活动参与人数为2,330，共投出53,049,764票。其中，Cocos-BCX支持人数为1,894，所得票数为41,748,550，在此次投票上币中胜出。Gate.io将分别于今日12:00开通COCOS/USDT交易，今日14:00开通TROY/USDT交易，并随后开通提现服务。目前已为参与投票的用户空投代币。详情见原文链接。[2020/8/18]

jconsole代表内存，CPU和线程的截图

动态 | 波场TRON总账户数突破460万:2月5日，根据TRONSCAN波场区块链浏览器最新数据显示，波场TRON总账户数达到4606575，突破460万。波场TRON各项数据一直稳中前进，波场生态逐渐强大的同时，也将迎来更多交易量。详情点击原文链接。[2020/2/5]

gclog来显示JVM进入无限的GC并且仍然无法释放内存

修复建议

JSONObject.parse使用Feature.UseBigDecimal.getMask;默认情况下。不使用BigDecimal会解决问题，但可能会在需要BigDecimal的其他地方引入问题。

如果整个字节码一直没有放入内存中那就好了。

影响使用单台计算机，攻击者可以向所有或51％的SR节点发起DDOS攻击，并使Tron网络无法使用。

标签：CONVALALUVALUECrab ContractDark Land SurvivalValuablesValue Finance

以太坊交易所热门资讯