TRO:TRON漏洞：通過耗盡內存和CPU來引發DoS_EOS

簡介：單個請求向/wallet/deploycontract提交幾兆字節碼以及CPU密集型長解析將消耗CPU大約10分鐘，同時仍然在堆中保存幾兆字節碼。發起足夠的請求，足以使用所有可用線程來處理傳入的HTTP請求，填滿內存并導致產生拒絕訪問。

描述：

*從一個很大的帶有大指數的十進制數中獲取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();這段代碼大約需要2-3分鐘才能在較新的macbookpro中運行完成。*/wallet/deploycontract有6個字段，它們從解析的json對象中獲取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。這意味著單個請求可以使用最多12分鐘的線程。*當一個線程被鎖定12分鐘/deploycontract時，整個字節碼也會放入內存中，這會占用內存并過早地將對象從eden內存空間移動到舊的內存空間*一旦將對象移動到舊的存儲空間，當指針被釋放時將很難清理它們，因此GC會在嘗試清理之前卡住。請注意gc日志和屏幕截圖，其中內存在攻擊停止后很長時間內保持在3G狀態。

波場TRON總賬戶數突破510萬:4月13日，根據TRONSCAN波場區塊鏈瀏覽器最新數據顯示，波場TRON總賬戶數達到5144608，突破510萬。波場TRON各項數據一直穩中前進，波場生態逐漸強大的同時，也將迎來更多交易量。[2020/4/13]

參考：

jconsole代表內存，CPU和線程的截圖

動態 | CoinMarketCap 2019報告：波場TRON的訪問量始終保持前五:根據CoinMarketCap 2019報告顯示，波場TRON的訪問量始終保持前五，波場TRON在第一季度排名第三，在第二季度排名第四，在第三季度排名第五，此外，BitTorrent在第一季度排名第五。波場TRON以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的TRON協議是全球最大的基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場TRON還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。波場TRON在2018年7月24日完成了對P2P下載網絡BitTorrent及其旗下所有產品的收購。[2020/1/22]

gclog來顯示JVM進入無限的GC并且仍然無法釋放內存

動態 | DAppTotal 數據：跨ETH/EOS/TRON/IOST四大公鏈，DApp活躍度排行榜:據 DAppTotal 10月14日數據顯示，過去一周，綜合對比ETH、EOS、TRON、IOST四大公鏈的DApp生態情況發現：總用戶量(個): ETH(225,553) > EOS(131,298) > TRON(64,673) > IOST(5,918)；總交易次數(筆)：EOS(29,635,637) > TRON(8,481,869) > ETH(1,083,662) > IOST(863,003)；總交易額(美元)：TRON(68,855,914) > EOS(56,635,133) > ETH(47,207,403) > IOST(6,576,852)；跨四條公鏈按用戶量TOP3 DApps為：Hash Baby(EOS)、DDEX(TRON)、Xdapp(EOS)；按交易次數TOP3 DApps分別為：Dice(EOS)、Hash Baby(EOS)、WINk(TRON)；按交易額TOP3 DApps分別為：WINk(TRON)、RocketGame(TRON)、Newdex(EOS)。[2019/10/14]

修復建議

JSONObject.parse使用Feature.UseBigDecimal.getMask;默認情況下。不使用BigDecimal會解決問題，但可能會在需要BigDecimal的其他地方引入問題。

如果整個字節碼一直沒有放入內存中那就好了。

影響使用單臺計算機，攻擊者可以向所有或51％的SR節點發起DDOS攻擊，并使Tron網絡無法使用。

Tags：tronRONTROEOSTronLink錢包中文Iron PepepetrodollarEOSADD

世界幣