RON:TRON漏洞：通過耗盡內存和CPU來引發DoS

簡介：單個請求向/wallet/deploycontract提交幾兆字節碼以及CPU密集型長解析將消耗CPU大約10分鐘，同時仍然在堆中保存幾兆字節碼。發起足夠的請求，足以使用所有可用線程來處理傳入的HTTP請求，填滿內存并導致產生拒絕訪問。

描述：

*從一個很大的帶有大指數的十進制數中獲取longValue非常慢。例如newBigDecimal("10000000e100000000").longValue();這段代碼大約需要2-3分鐘才能在較新的macbookpro中運行完成。*/wallet/deploycontract有6個字段，它們從解析的json對象中獲取longValue，即token_id，call_token_value，fee_limit，call_value，consume_user_resource_percent，origin_energy_limit。這意味著單個請求可以使用最多12分鐘的線程。*當一個線程被鎖定12分鐘/deploycontract時，整個字節碼也會放入內存中，這會占用內存并過早地將對象從eden內存空間移動到舊的內存空間*一旦將對象移動到舊的存儲空間，當指針被釋放時將很難清理它們，因此GC會在嘗試清理之前卡住。請注意gc日志和屏幕截圖，其中內存在攻擊停止后很長時間內保持在3G狀態。

波場TRON總賬戶數突破1200萬:10月15日，根據TRONSCAN波場區塊鏈瀏覽器最新數據顯示，波場TRON總賬戶數達到12,139,260，突破1200萬。波場TRON各項數據平穩增長，波場生態逐漸強大的同時，也將迎來更多交易量。[2020/10/15]

參考：

jconsole代表內存，CPU和線程的截圖

孫宇晨：BTFS主網發布集成TRON錢包等5個新功能:孫宇晨發推特稱，去中心化存儲項目BTFS主網發布5個新功能，包括提供儲存空間、購買存儲空間、安全存放、集成TRON錢包和離線簽名。[2020/3/1]

gclog來顯示JVM進入無限的GC并且仍然無法釋放內存

修復建議

動態 | ETH/TRON DApp?單個用戶平均周交易額均有所增長:據RatingDApp和RatingToken大數據監測顯示，最近一周EOS/ETH/TRON三大主流公鏈平臺DApps活躍用戶分別為EOS(145901)>TRON(109079)>ETH(63487)， 交易額TRON($102638943.62)>EOS($93158938.56)>ETH($60355628.25)，TRON周交易額超越EOS成為第一。從單個用戶平均周交易額來看，最近一周EOS?DApp為638.51美元，環比上周下降3.81%；ETH DApp為950.68美元，環比上周上升19.18%；TRON DApp為940.96美元，環比上周上升4.43%。[2019/6/24]

JSONObject.parse使用Feature.UseBigDecimal.getMask;默認情況下。不使用BigDecimal會解決問題，但可能會在需要BigDecimal的其他地方引入問題。

如果整個字節碼一直沒有放入內存中那就好了。

影響使用單臺計算機，攻擊者可以向所有或51％的SR節點發起DDOS攻擊，并使Tron網絡無法使用。

Tags：RONTROtronDAPPtronlink錢包官網2.0地址tronlink安全碼tronlink錢包怎么激活區塊鏈dapp開發

fil幣價格今日行情