TOKEN:TRON漏洞：通过耗尽内存和CPU来引发DoS_IMI

简介：单个请求向/wallet/deploycontract提交几兆字节码以及CPU密集型长解析将消耗CPU大约10分钟，同时仍然在堆中保存几兆字节码。发起足够的请求，足以使用所有可用线程来处理传入的HTTP请求，填满内存并导致产生拒绝访问。

描述：

*从一个很大的带有大指数的十进制数中获取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();这段代码大约需要2-3分钟才能在较新的macbookpro中运行完成。*/wallet/deploycontract有6个字段，它们从解析的json对象中获取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。这意味着单个请求可以使用最多12分钟的线程。*当一个线程被锁定12分钟/deploycontract时，整个字节码也会放入内存中，这会占用内存并过早地将对象从eden内存空间移动到旧的内存空间*一旦将对象移动到旧的存储空间，当指针被释放时将很难清理它们，因此GC会在尝试清理之前卡住。请注意gc日志和屏幕截图，其中内存在攻击停止后很长时间内保持在3G状态。

前Messari分析师Mason Nystrom宣布加入Variant Fund任投资合伙人:7月1日消息，前Messari分析师Mason Nystrom在其社交网站宣布加入Variant Fund任投资合伙人，将负责投资初创加密协议和专注于消费者的公司。其主要关注领域为NFT金融化、Web3市场中独特的加密经济机制和激励措施以及独创性的NFT应用程序和平台。[2022/7/1 1:44:48]

参考：

波场TRON账户总数突破3700万:2021年6月1日，根据TRONSCAN最新数据显示，波场TRON账户总数达到37,085,442，突破3700万。波场TRON各项数据稳中前进，波场生态逐渐强大的同时，也将迎来更多交易量。[2021/6/1 23:01:47]

jconsole代表内存，CPU和线程的截图

动态 | Electroneum推出区块链智能手机M1:据businesswire报道，Electroneum推出区块链智能手机M1，用户可以通过应用程序，挖掘加密资产。[2019/2/25]

gclog来显示JVM进入无限的GC并且仍然无法释放内存

修复建议

JSONObject.parse使用Feature.UseBigDecimal.getMask;默认情况下。不使用BigDecimal会解决问题，但可能会在需要BigDecimal的其他地方引入问题。

如果整个字节码一直没有放入内存中那就好了。

影响使用单台计算机，攻击者可以向所有或51％的SR节点发起DDOS攻击，并使Tron网络无法使用。

标签：CIMTOKENIMIJCO通讯链币CIMTokenpaytimi币官方网站Storjcoin X

AVAX热门资讯