「ForesightNews」ENS 开发者:已解决 ENS 子图中存在空字符漏洞问题,并将进行必要的测试
「ForesightNews」ForesightNews消息,ENS开发者NickJohnson文件称,ENS子图中的空字符漏洞已经解决了两次,并采取了预防措施。因为TheGraphPostgreSQL在创建域名前后添加空字节字符时,攻击者可以利用该漏洞冒充任何其他用户注册的域名,而无需将空字符存储在文本列中。该漏洞于去年4月首次发现,ENSLabs解决方案是简单地重复检查查询的标签哈希值是否与子图提供的标签哈希值一致。但这个漏洞在去年12月再次出现,ENSLabs在元数据服务中重新应用与当前功能集兼容的同一补丁,并在代码旁边进行必要的测试和描述和注释。同时,每个标签都会手动检查是否为空字符,并添加单位测试以防止返回。NickJohnson提出的预防措施是半自动部署元数据服务,所有合并到主要分支的代码都将启动-no-traffic部署,然后区分traffic。