加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > BNB價格 > Info

零寬字符對ENS的影響 或比你想象的更大_ENS:WEB

Author:

Time:1900/1/1 0:00:00

昨日,一位資深的 Web2.0 域名交易者「Hero 桀」在其個人 Mirror 上發表了一篇名為《請停止注冊一切 ENS 域名,因為它一文不值》的文章。Hero 桀自稱是資深 Web2.0 域名交易者,并曾賣出 xiaomiquan、wuyinli 等多個知名域名,目前仍持有 ouyi 這一優質域名。

該文章指出了一個肉眼不可見的「ZWJ(零寬字符)」所導致的設計疏漏,正為 ENS 埋下重大安全風險。該文章在部分加密社區流傳甚廣,并引發了部分投資者對 ENS 的質疑。

這一問題允許多個肉眼所見完全相同的.eth 域名同時出現。正如 Web3.0 革新了陳舊的傳統互聯網一樣,在 Web3.0 時代,ENS 也為釣魚攻擊帶來了 Web2.0 不曾出現過的全新升級的新方法。

在現階段,「.eth」域名更多的被作為「網名」而廣泛使用,一個獨特的 eth 域名就像 Web2.0 時代的 QQ 靚號。在這種難以稱之為基礎設施的應用場景下,一些設計疏漏雖然會對用戶造成困擾,但終歸無法撼動 ENS 去中心化域名龍頭的地位。

而在 ENS 的愿景實現之后,這個疏漏仍然是可以被忽視的嗎?「Decentralised naming for wallets, websites, & more.」這是 ENS 官網上用醒目的字體所寫的宏大使命。在這個愿景中,ENS 將成為命名一切數字資源的域名系統、打開 theblockbeats.eth 就像打開 theblockbeats.info 一樣自然,而此時 ENS 的零寬字符將為整個 Web3.0 世界帶來深遠的安全隱患。

零寬字符,讓 ENS 距離成為 Web3.0 基礎設施更遠了一步。

BIS與七家央行發布關于rCBDC的最新論文:金色財經報道,國際清算銀行(BIS)在其官網上宣布已與加拿大、歐洲聯盟、日本、瑞典、瑞士、英國和美國的中央銀行聯合發布了一份詳細說明它們對零售央行數字貨幣(rCBDC)的持續政策觀點的論文。

該論文構建在之前的政策要素基礎上,提出了一些新的觀點。其中第一個要素是利益相關者的參與,研究表明這將依賴于幾個機制。與立法者的合作將是至關重要,因為與央行數字貨幣相關的尚未解決的法律問題主要是國家法律的事項。此外,論文還詳細討論了與rCBDC相關的法律問題。[2023/5/26 10:41:08]

當你看到「vitalik.eth」時,你會認為這個人是誰?毫無疑問,這一 ENS 域名由 V 神所有。那么,我能否注冊這一域名呢?按照 ENS 的規則,這一域名已被注冊,其他用戶自然無法在注冊同樣的域名。但值得注意的是,這里僅僅指對計算機而言完全一致的域名。那么,我有沒有辦法找到一個和 V 神域名有所不同但看上去又一致的域名呢?

當然可以,只要在任意位置插入 ZWJ 即可。

ZWJ(zero width joiner)即零寬字符,這一符號頗為特殊。對于計算機來說,ZWJ 仍然為一個字符,在 Unicode 字符集中擁有獨立的編碼,你在 Word 鍵入這一字符它仍會被計入字數統計。而這一字符的寬度卻為 0,也就是說對于肉眼而言,零寬字符完全不可見。

這也就意味著,我只要在「vitalik」這一單詞中任意位置插入零寬字符,即可注冊一個肉眼看上去和 V 神域名完全一致的 ENS 域名。

Carry1st完成2700萬美元的新一輪融資,BITKRAFT Ventures領投:1月17日消息,Web3 和社交游戲發行商 Carry1st 完成 2700 萬美元的最新一輪融資,BITKRAFT Ventures 領投,Andreessen Horowitz (a16z)、TTV Capital、Alumni Ventures、Lateral Capital、Kepple Ventures 和 Konvoy參投。總部位于開普敦的手機游戲發行商將利用這筆資金開發、許可和發布新游戲,并擴展其貨幣化即服務產品 Pay1st。

2022年1月報道,Carry1st 完成2000萬美元的A輪融資,a16z 領投,谷歌母公司參投。[2023/1/17 11:17:14]

在注冊 ENS 域名時,只要在任意位置鍵入「%E2%80%8C」或者「%E2%80%8D」,即可在單詞中插入一個零寬字符。這樣,一個 V 神同款 ENS 即可成功注冊了。如果插入零寬字符之后,依然已被人提前注冊,你甚至可以插入連續的兩個、三個、四個……多個零寬字符,直至嘗試到無人注冊為止。

ENS 不止是 Ethereum 網絡的重要基建之一,同樣也是 Web3.0 網絡的重要基建。ENS 的創始人曾公開表示,ENS 的愿景是要做「全球每一個數字資源的域名服務商」。不止是用戶的賬戶名,更是整個 Web3.0 網絡的命名系統。

還記得早年間關于 Web3.0 最初版本的想象嗎?去中心化存儲保存文件、去中心化域名提供尋址系統、智能合約擁有鏈上計算的能力、去中心化錢包充當支付通道,在這個版本的 Web3.0 中,一切都是運行于去中心化網絡、無需許可、無審查的,這是一個真正自由的互聯網。在這個版本中,使用 Web3.0 瀏覽器訪問 theblockbeats.eth 就像你打開 theblockbeats.info 一樣自然。

法國研究人員:現在應開始規范元宇宙:金色財經報道,法國政府委托的研究人員表示,歐盟對其關鍵的加密貨幣立法包的處理凸顯了 \"不充分和缺乏專業知識\",在制定元宇宙的規則時不應該重復這種情況。研究人員在周一發表的一份報告中說,雖然法國不應該迅速否定元宇宙,即虛擬、增強和物理現實的超級組合,但它應該盡快嘗試并規范它。(coindesk)[2022/10/25 16:37:42]

遺憾的是,這一版本的 Web3.0,至今尚未實現。且主流瀏覽器至今尚未支持.eth 域名的訪問。盡管 ENS 仍在持續的建設之中,但它似乎難以成為這一版本的 Web3.0 的主流基礎設施了。倘若真的建成,也將為 Web3.0 時代的網上沖浪留下巨大的安全隱患。

仔細回想一下,你是如何打開這篇文章的?

想必你定當是在某處見到了本篇文章的鏈接,鼠標或手指的一次點擊,將你帶到了這個頁面。而絕非是在地址欄鍵入漫長的一串??https://www.theblockbeats.info/news/28611? 。毋庸置疑,幾乎所有的用戶,都在使用 URL 進行網上沖浪。一個又一個縱橫交錯的超鏈接構成了我們當今時代的互聯網,超鏈接組織起了互聯網的繁雜信息、超鏈接為搜索引擎提供了尋找信息的技術基礎、超鏈接為信息提供了開放自由的互聯通道,可以說沒有超鏈接,就沒有當今世界的互聯網。

基于 ENS 域名的 Web3.0 網站是否可以做到這一切?至少當前是極為困難的。因為它為我們帶來了極大的安全風險。

在 Web2.0 時代,釣魚網站攻擊時刻都在對世界網民造成著嚴重的損失,而這還是在域名無法重名的情況下。想象一下,你在網上沖浪時看到網友分享的一個鏈接,該鏈接「肉眼可見」的是某知名平臺,域名拼寫和真實地址分毫不差,于是你便點了進去。但其實這是一個通過零寬字符偽造的釣魚網站。

烏克蘭兩大科技零售巨頭Techno ?zhak和Stylus開始接受比特幣支付:9月4日消息,烏克蘭兩家最大的科技零售商Techno ?zhak和Stylus現在已經開始接受比特幣作為一種支付形式。這兩家科技零售巨頭將允許客戶用比特幣支付商品和服務。報道稱,該公司將使用支付服務提供商Whitepay,作為公司在客戶和商家之間的中間人。Whitepay是歐洲加密貨幣交易所WhiteBIT的子公司。

客戶將可以在網上和實體店使用比特幣支付。兩家科技公司的實體店共有100多家零售店。親自支付的客戶將可以使用Whitepay的定制銷售點系統,該系統會向商家提供二維碼來記錄交易。二維碼將包括當前匯率的信息,以及在網絡上完成交易所需的時間。

此前報道,今年早些時候,烏克蘭總統Volodymyr Zelensky簽署了一項關于虛擬貨幣法案,為比特幣在該國經濟中運行提供了法律框架。(Cryptoglobe)[2022/9/4 13:08:14]

當用戶只是進行點對點轉賬時,手動輸入的習慣讓零寬字符或許只是一個無關痛癢的惡作劇。而當 ENS 試圖達到它的使命、命名一切數字資源時,這一切都變了。Web2.0 的釣魚只是域名相似,而 Web3.0 的釣魚已經迭代為完全一致。這將是一個重大的安全隱患。

我們處在一個基于超鏈接編織而成的互聯網。DeFi、交易平臺、Web3.0 博客、Web3.0 社交;網站鏈接、dapp 鏈接、API 接口鏈接、一切用例的入口鏈接……若以鏈接形式存在的.eth 域名不再可信,.eth 如何拓展它在「網名」之外的用例?如何成為 Web3.0 基礎設施?ENS 域名的宏大敘事如何繼續展開?這一風險或將從根基沖擊 ENS 的估值體系。

而頗為諷刺的是,這一問題甚至在 Web2.0 中并不存在。

AAVE突破100美元:AAVE突破100美元,現報100.03美元,日內漲幅達到8.16%,行情波動較大,請做好風險控制。[2022/8/3 2:56:34]

Web2.0 的解決方案簡單明了——不支持使用零寬字符和拉丁字母的混排作為域名。具體可參閱《IDN2008 規范》的「UTS46」標準。

前文我們曾提到零寬字符「%E2%80%8C」和「%E2%80%8D」這兩組神秘代碼。這是 16 進制的 UTF-8 編碼。它們的 Unicode 編號分別為「U+200C」和「U+200D」。這些字符通常被用于在阿拉伯文與印度語系等文字中,用于控制字符間是否產生連字的效果。在其他大多數語言中,你并不能打出這個字符。

而在 Web2.0 的域名注冊中,此類較為特殊的字符并不被接受。但這并不代表 Web2.0 沒有類似的攻擊手段。事實上,外形相似的域名所偽裝的釣魚網站,一直在 Web2.0 的世界里廣泛存在。

舉個例子,你能否準確的區分"e" 和"е" 、"a"和"а"、「Ο」和「O」以及「О」?這些字母包括我們頻繁使用的拉丁字母,以及較少用到的西里爾字母和希臘字母。

起初,域名注冊僅支持 ASCII 字符,即我們口語中所說的「英文字母」和阿拉伯數字。這也是在世界各地被使用最為廣泛的字符集,幾乎所有支持字符顯示的設備都支持 ASCII,但卻不一定可以正常顯示其他文字。在 IDN(國際化域名)普及之后,域名注冊新增支持了多種語言文字,將支持字符從 ASCII 字符集擴展至部分 Unicode 字符集。這讓世界各地的人民均可使用自己的母語注冊域名,以中文為例,你可以通過「http://新華網. 中國/」直接訪問新華網。

而在如此之多的文字中找到和拉丁字母相似的字符并不是什么難事。這種使用相似字符偽裝成釣魚網站進行欺詐的情況逐漸多了起來。這一欺詐被稱為同形文字(homograph)攻擊。

早在 2001 年,以色列的安全人員發表了一篇名為《同形文字攻擊》的論文,并注冊了一個包含西里爾字母的 microsoft. com 的變體。這也是可考證的第一個 homograph 欺詐域名。可以說,homograph 問題在 Web2.0 時代由來已久,但其危害性和嚴重性遠不及 Web3.0 的 ENS 域名。

我們以一組 IDN 域名為例:??.com、а??рау.com、а??рау.com。打開這些域名,你可以看到什么?

瀏覽器自動將域名轉換為了以「xn--」開頭的域名,這一編碼方式被稱為 Punycode。

在《IDNA2003》的規范中,為避免 homograph 欺詐,域名應經過二次處理,這一過程被稱為「兼容性規范化 (compatibility normalization,NFKC)」。在非 ASCII 字符域名中,所有的字符都可被通過 Punycode 轉換為更為通用的 ASCII 字符(「xn--」域名)。這一編碼方式遵循 UTR36 標準,已被主流瀏覽器使用,這從用戶端降低了 homograph 攻擊的風險。

同樣,在 IDN 域名的注冊環節,ICANN 也做出了相應的規范。各國域名注冊組織也在逐漸做出跟進,例如,俄羅斯的域名管理機構已經禁止了.ru 域名中混用西里爾字母和拉丁字母。

ENS 域名無疑支持著遠多于 DNS 域名的字符,你不僅可以像 DNS 一樣使用各種文字注冊域名,甚至還可以使用 emoji 注冊域名,以及本次被熱議的安全隱患零寬字符注冊域名。(值得一提的是,emoji 域名并不是 Web3.0 的特例,傳統域名中的「.tk」、「.ws」等根域名同樣也支持 emoji 注冊。)

而在 Web3.0 中,我們能否通過相似的手段消除這一隱患呢?

遺憾的是,ENS 開發者似乎并不打算從注冊入口上解決這一問題。

在 ENS 社區的討論中,這一問題早在 2021 年 4 月就已被用戶提出。而 ENS 開發者對此的解釋是,對零寬字符的支持是在合約層面的,因此無法移除對這些可能被用于欺詐的字符。此外,還有一個更重要的原因——零寬字符支撐著 emoji 在 ENS 中的應用。

ENS 創始人 nick.eth 針對零寬字符問題做出了這樣的回應:「我們不像 ICANN 對大部分通用頂級域名那么嚴格,像 emoji 這樣的域名就很好的運用了 ENS。」「ENS 禁止解析非 UTS-46 規范的域名并不在合約層面實現——將規范寫入合約是不切實際的——這應作為客戶端所需解決問題的一部分。」當然,他也對用戶做出了積極的表態,「我們將考慮對規范化規則作出補充,以禁止您發現的這種情況。」

emoji 表情符號數量繁雜,事實上,有大量的 emoji 均為基礎 emoji 的復合,例如,「女人」、「零寬字符」、「火箭」三個連在一起即會被計算機識別為「宇航員」。通過零寬字符,可以在精簡編碼集的基礎上納入更多的表情。而這也是 ENS 支持幾乎所有 emoji 的基礎。因此,ENS 無法屏蔽掉零寬字符的使用。

前文我們曾提到 Web2.0 的「.tk」域名,這是世界上第一個支持 emoji 的域名,傳統的 Web2.0 域名是如何解決這一問題的?在前文提到的《IDN2008 規范》的「UTS46」標準中,零寬字符在不同文字中的使用、在 emoji 中的使用,均被做出嚴格規范。

在 4 月份的討論中,nick 向社區成員解釋,零寬字符的使用是在智能合約層級的,「不過,這很好,ENS 的設計一直是這樣。」「白名單規則在這里沒用,因為域名中可以包含多個字符,而不僅僅只是 emoji。」

截至目前,我們尚未看到 ENS 團隊在合約層面有任何修復這一安全隱患的舉措。所有對于這一風險的防范均由中心化的 Web2.0 前端所作出。

在 OpenSea,包含零寬字符的 ENS 域名被標記上了黃色驚嘆號。

在 etherscan,存在同樣隱患的 ENS 域名則被標記了星號。

在 Metamask 上,雖然并不會額外給出風險提示,但 Metamask 可以識別到字符串中包含一位零寬字符,并用"?"將這一字符顯示出來。

借助于中心化的手段,ENS 域名的安全風險在一定程度上有所減少。但當我們進入一個完全開放的 Web3.0 的世界,中心化的手段又將起到多大的作用呢?如果這隱患無法消除,ENS 距離他命名一切數字資源的愿景,仍然相距甚遠。

在未來的某一天,有人發送給你一則網址為 www.binance.eth 的公告鏈接,你敢點開嗎?

Tags:ENSWEBWEB3WEB3.0renshentokenweb3域名后綴Web3 InuWEB3.0價格

BNB價格
北京大學2022年元宇宙全球年度報告_元宇宙:元宇宙幣種有哪些

從熱度高漲到真正產品成熟落地的這段時間——即2022年,我們預計將進入分歧期。分歧期只是外界對元宇宙的看法,中長期來看,元宇宙作為新的計算平臺,是確定性的方向,有格局、眼光、定力、使命感的團隊,

1900/1/1 0:00:00
深度訪談:困在OpenSea的NFT 如何才能走出“埃及”?_NFT:OPEN

寫在文首: 1月5日,鏈上達人正式發起『達人會客廳』欄目,聚焦當下行業熱點,對話活躍在一線的意見領袖,碰撞出真正有價值的內容和思考。當晚,『達人會客廳』迎來首位嘉賓——區塊鏈“多面手”許志宏.

1900/1/1 0:00:00
為什么還有人在看漲比特幣?_比特幣:以太坊

去年2021年的某個時候,我對自己保證,不再談論或寫關于比特幣內容。我不再談比特幣是出于純粹的憐憫心,何必要再鞭笞一匹將死的老馬?但直到現在,我都沒辦法控制自己.

1900/1/1 0:00:00
Outlier Ventures創始人詳解MetaFi:元宇宙中的DeFi_NFT:MetaMars

譯者:Evelyn、Aaron|W3.HitchhikerDeFi for the Metaverse 自2018年以來,去中心化金融("DeFi")的概念一直在加密貨幣社區中穩步發展.

1900/1/1 0:00:00
RON首秀遇冷 Axie跌落神壇_RON:AXI

在公鏈領域,Ronin Chain是一個特別的存在,它因以太坊性能和體驗不足、難以支撐Axie Infinity游戲而生.

1900/1/1 0:00:00
2022年值得關注的五大新秀DAO_DAO:bbank幣前景如何

在過去幾個月,我們看到了DAO的蓬勃發展,這種治理模式得到的認可度與熱度越來越高,并且除了傳統的風投和基金之外,投資DAO儼然成為了Web3生態系統提供資金的主要載體.

1900/1/1 0:00:00
ads