TRON網(wǎng)絡(luò)中發(fā)現(xiàn)了一個(gè)嚴(yán)重的安全漏洞，有可能使生態(tài)系統(tǒng)的區(qū)塊鏈變得無(wú)用。TRON的本地加密貨幣TRX由Tron基金會(huì)開(kāi)發(fā)，于2017年發(fā)布，市值為16.1億美元。根據(jù)最近發(fā)布并公布的HackerOnebug賞金計(jì)劃建議，正如The Next Web所發(fā)現(xiàn)的那樣，單個(gè)PC發(fā)出的一連串請(qǐng)求可用于擠壓區(qū)塊鏈CPU的功能，使內(nèi)存過(guò)載，并執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊。

該公告稱，“使用一臺(tái)機(jī)器，攻擊者可以向全部或51%的超級(jí)代表(SR)節(jié)點(diǎn)發(fā)送DDOS攻擊，并使Tron網(wǎng)絡(luò)無(wú)法使用或使其無(wú)法使用。”

該漏洞標(biāo)記為“高”，嚴(yán)重性為7到8.9。

為了利用這個(gè)問(wèn)題，攻擊者會(huì)向/ wallet / deploycontract提交一個(gè)帖子，這是一種請(qǐng)求在區(qū)塊鏈上部署合同的方法。每個(gè)請(qǐng)求都需要包含幾兆字節(jié)的字節(jié)碼。

有足夠的請(qǐng)求 - 根據(jù)可用內(nèi)存從1,000到10,000不等 - 單個(gè)系統(tǒng)將能夠占用所有請(qǐng)求插槽并導(dǎo)致DDoS，從而阻止合法用戶訪問(wèn)網(wǎng)絡(luò)。

Bug賞金獵人Danish Shrestha在1月份向Tron基金會(huì)披露了安全漏洞，導(dǎo)致了1,500美元的漏洞賞金獎(jiǎng)勵(lì)。

CNET：

Google現(xiàn)在允許您自動(dòng)刪除位置和活動(dòng)歷史記錄。這是如何做

此外，本月還披露了影響TRON網(wǎng)絡(luò)的另一個(gè)安全漏洞，研究員Jacob Wood獲得了3,100美元。但是，該漏洞的詳細(xì)信息尚未公開(kāi)。

Bug賞金計(jì)劃是外包網(wǎng)絡(luò)安全專業(yè)知識(shí)的一種手段。HackerOne和Bugcrowd是兩個(gè)最知名的漏洞狩獵平臺(tái)，全世界的企業(yè)都在使用它們來(lái)提高產(chǎn)品的安全性。

另請(qǐng)參閱：

運(yùn)行SAP軟件的50,000家企業(yè)公司易受攻擊

加密貨幣和基于區(qū)塊鏈的初創(chuàng)公司也存在于這些平臺(tái)上。去年，一名安全研究人員通過(guò)查找和報(bào)告影響EOSIO區(qū)塊鏈和Eos.js庫(kù)的漏洞，在24小時(shí)內(nèi)就能夠獲得至少80,000美元的收入。

由于TRON區(qū)塊鏈漏洞已突出顯示，因此單個(gè)錯(cuò)誤可能導(dǎo)致整個(gè)加密貨幣生態(tài)系統(tǒng)無(wú)法使用。然而，不僅是安全漏洞可能使投資者的加密貨幣處于危險(xiǎn)之中。

TechRepublic：

為什么消費(fèi)者仍然不信任物聯(lián)網(wǎng)設(shè)備

在QuadrigaCX交易所首席執(zhí)行官去世后，2月份加密貨幣的1.36億美元被凍結(jié)。這位高管是唯一一個(gè)可以訪問(wèn)公司冷錢(qián)包的人，如果沒(méi)有他的訪問(wèn)憑證，資金就會(huì)被永久丟失，交易平臺(tái)現(xiàn)在被迫申請(qǐng)破產(chǎn)。