ForesightNews消息,ENS开发者NickJohnson发文称,已经解决两次出现的ENS子图中存在空字符漏洞问题,并采取预防措施。由于TheGraph的PostgreSQL未在文本列中存储空字符,攻击者在创建域名前后添加空字节字符时,可利用此漏洞冒充任何已被其他用户注册的域名。该漏洞于去年4月首次发现,ENSLabs解决方案是简单地重复检查查询的标签哈希值是否与子图提供的标签哈希值相符。但去年12月该漏洞再次出现,ENSLabs将重新应用与元数据服务中当前功能集兼容的相同补丁,并将进行必要的测试和描述,以及代码旁的注释。同时,每个标签都会手动检查是否为空字符,并增加一个单位测试以防止回归。NickJohnson提出的预防措施是半自动化部署元数据服务,所有合并到主干分支的代码会出发-no-traffic部署,随后会区分出traffic。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。