Согласно The Next Web и взрывоопасным данным от HackerOne, в сети Tron была найдена уязвимость, используя которую всего один компьютер может истощить ресурсы всей сети.
Bytecode Attack может поставить Tron на колени
Уязвимость «байткод атака» - это метод, который предполагает использование массивного фрагмента байт-кода для потребления ресурсов в сети Tron, эффективно отключая его для таких вещей, как обработка смарт-контрактов и даже транзакций.
Краткое содержание отчета HackerOne гласит:
Один запрос на отправку сообщения в / wallet / deploycontract с несколькими мегабайтами байт-кода вместе с интенсивным долгим анализом ЦП будет потреблять ЦП около 10 минут, в то же время сохраняя несколько мегабайт байт-кода в хэше. При достаточном количестве запросов (скажем, 1K-10K в зависимости от доступной памяти) достаточно использовать все доступные потоки для обслуживания входящего HTTP-запроса, заполнения памяти и рендеринга DDOS.
Tron Foundation заплатил исследователю безопасности 1'500 долларов за обнаружение ошибки и отметил проблему как «решенную».
Сломать криптовалютную сеть с одного ПК
Впервые сообщенный 13 января, Tron не раскрывал ошибку до 2 мая. Предположительно, тем временем они внедрили патч. Последняя версия Tron была выпущена 9 апреля.
Согласно отчету, «влияние» ошибки заключалось в следующем:
Используя одну машину, злоумышленник может отправить DDOS-атаку на все или 51% узлов SR и сделать сеть Tron непригодной для использования или сделать ее недоступной.
Tron Foundation пренебрег блогом на эту тему, что может показаться серьезным вопросом для всех, кто верит в сеть Tron.
Оплачиваемые взломы для поиска уязвимостей
По данным Next Web, криптовалютные проекты выплатили в общей сложности 878'000 долларов. Многочисленные крипто-компании используют платформу HackerOne, чтобы побудить этичных хакеров раскрыть недостатки, обнаруженные на различных платформах. Даже у Monero есть выплаты на HackerOne.
Этот чек на 1'500 долларов кажется довольно небольшой суммой, учитывая серьезность обсуждаемой ошибки. Сеть Tron в настоящее время стоит около 1,6 миллиарда долларов.
Если бы этот эксплойт когда-либо использовался, цены на Tron, несомненно, значительно снизились. Другие последствия могут включать исключение с бирж, которые требуют, чтобы сеть была пригодна для использования. Однако подобный подвиг не принесет хакеру никакой финансовой выгоды, если он не сможет где-нибудь открыть короткую позицию для TRX.
У Poloniex больше нет маржинальной торговли. Немногие биржи предлагают наценки за альткоины. Поэтому, вероятно, единственный прибыльный способ использовать ошибку - сообщить об этом.
