昨日,一位資深的Web2.0域名交易者「Hero桀」在其個人Mirror上發表了一篇名為《請停止注冊一切ENS域名,因為它一文不值》的文章。Hero桀自稱是資深Web2.0域名交易者,并曾賣出xiaomiquan、wuyinli等多個知名域名,目前仍持有ouyi這一優質域名。
該文章指出了一個肉眼不可見的「ZWJ」所導致的設計疏漏,正為ENS埋下重大安全風險。該文章在部分加密社區流傳甚廣,并引發了部分投資者對ENS的質疑。
這一問題允許多個肉眼所見完全相同的.eth域名同時出現。正如Web3.0革新了陳舊的傳統互聯網一樣,在Web3.0時代,ENS也為釣魚攻擊帶來了Web2.0不曾出現過的全新升級的新方法。
在現階段,「.eth」域名更多的被作為「網名」而廣泛使用,一個獨特的eth域名就像Web2.0時代的QQ靚號。在這種難以稱之為基礎設施的應用場景下,一些設計疏漏雖然會對用戶造成困擾,但終歸無法撼動ENS去中心化域名龍頭的地位。
而在ENS的愿景實現之后,這個疏漏仍然是可以被忽視的嗎?「Decentralisednamingforwallets,websites,&more.」這是ENS官網上用醒目的字體所寫的宏大使命。在這個愿景中,ENS將成為命名一切數字資源的域名系統、打開theblockbeats.eth就像打開theblockbeats.info一樣自然,而此時ENS的零寬字符將為整個Web3.0世界帶來深遠的安全隱患。
分析師:比特幣被BRC-20代幣“圍攻”,gas費飆升:金色財經報道,加密數據公司的分析師 Axel Adler Jr表示,在BTC區塊鏈上鑄造BRC-20memecoin導致區塊空間需求激增,與以太坊的ERC-20等傳統代幣標準不同,BRC-20不使用智能合約,僅使用支持比特幣區塊鏈的錢包進行操作。”根據CryptoQuant的數據,每筆交易的平均費用飆升,超過16美元,并在5月9日達到29美元的峰值。[2023/5/10 14:54:07]
零寬字符,讓ENS距離成為Web3.0基礎設施更遠了一步。
我,V神,打錢
當你看到「vitalik.eth」時,你會認為這個人是誰?毫無疑問,這一ENS域名由V神所有。那么,我能否注冊這一域名呢?按照ENS的規則,這一域名已被注冊,其他用戶自然無法在注冊同樣的域名。但值得注意的是,這里僅僅指對計算機而言完全一致的域名。那么,我有沒有辦法找到一個和V神域名有所不同但看上去又一致的域名呢?
當然可以,只要在任意位置插入ZWJ即可。
ZWJ即零寬字符,這一符號頗為特殊。對于計算機來說,ZWJ仍然為一個字符,在Unicode字符集中擁有獨立的編碼,你在Word鍵入這一字符它仍會被計入字數統計。而這一字符的寬度卻為0,也就是說對于肉眼而言,零寬字符完全不可見。
這也就意味著,我只要在「vitalik」這一單詞中任意位置插入零寬字符,即可注冊一個肉眼看上去和V神域名完全一致的ENS域名。
去中心化交易協議WOOFi已部署至zkSync Era主網:金色財經報道,據官方推特,去中心化交易協議WOOFi宣布已正式部署至zkSync Era主網上。WOOFi是由WOO Network構建的去中心化交易協議,提供兌換、Earn 和質押等服務。[2023/4/28 14:32:17]
在注冊ENS域名時,只要在任意位置鍵入「%E2%80%8C」或者「%E2%80%8D」,即可在單詞中插入一個零寬字符。這樣,一個V神同款ENS即可成功注冊了。如果插入零寬字符之后,依然已被人提前注冊,你甚至可以插入連續的兩個、三個、四個……多個零寬字符,直至嘗試到無人注冊為止。
做不好域名的ENS,敘事難以持續
ENS不止是Ethereum網絡的重要基建之一,同樣也是Web3.0網絡的重要基建。ENS的創始人曾公開表示,ENS的愿景是要做「全球每一個數字資源的域名服務商」。不止是用戶的賬戶名,更是整個Web3.0網絡的命名系統。
還記得早年間關于Web3.0最初版本的想象嗎?去中心化存儲保存文件、去中心化域名提供尋址系統、智能合約擁有鏈上計算的能力、去中心化錢包充當支付通道,在這個版本的Web3.0中,一切都是運行于去中心化網絡、無需許可、無審查的,這是一個真正自由的互聯網。在這個版本中,使用Web3.0瀏覽器訪問theblockbeats.eth就像你打開theblockbeats.info一樣自然。
Solana發布2月25日主網宕機報告:根本原因尚未明確,正在積極調查中:2月27日消息,Solana官方今日發布2月25日主網宕機報告。報告指出,本次宕機的根本原因尚未明確,目前團隊正在積極調查中。
2023年2月25日5:46:16(UTC時間),Solana主網性能出現問題,最終迫使驗證者節點自動進入“僅投票”的安全模式。盡管共識投票交易能正常進行,但是網絡無法處理用戶交易。
調試問題的工程師建議重新啟動網絡。驗證者社區集體同意并決定降級到以前的穩定版本v1.13.6,同時減少重新啟動的風險,而v1.14最近已經推出。
最初的重啟嘗試被取消,以便有時間進行更徹底的數據分析,并確保不會影響用戶交易。經過進一步的分析,社區集體使用一個比先前選擇的更舊的插槽重新啟動了網絡。沒有確認的用戶交易被回滾或受到了影響。
大約在2023年2月26日01:28(UTC), Solana Mainnet Beta成功重啟,網絡恢復處理用戶交易。[2023/2/27 12:31:37]
遺憾的是,這一版本的Web3.0,至今尚未實現。且主流瀏覽器至今尚未支持.eth域名的訪問。盡管ENS仍在持續的建設之中,但它似乎難以成為這一版本的Web3.0的主流基礎設施了。倘若真的建成,也將為Web3.0時代的網上沖浪留下巨大的安全隱患。
仔細回想一下,你是如何打開這篇文章的?
想必你定當是在某處見到了本篇文章的鏈接,鼠標或手指的一次點擊,將你帶到了這個頁面。而絕非是在地址欄鍵入漫長的一串??https://www.theblockbeats.info/news/28611?。毋庸置疑,幾乎所有的用戶,都在使用URL進行網上沖浪。一個又一個縱橫交錯的超鏈接構成了我們當今時代的互聯網,超鏈接組織起了互聯網的繁雜信息、超鏈接為搜索引擎提供了尋找信息的技術基礎、超鏈接為信息提供了開放自由的互聯通道,可以說沒有超鏈接,就沒有當今世界的互聯網。
IBC Group創始人:SBF與LUNA和3AC崩盤事件有關:11月11日消息,投資公司IBC Group創始人兼首席執行官Mario Nawfal發推文稱,一知情人士在我空間里分享了關于FTX創始人Sam Bankman-Fried(SBF)導致LUNA崩潰和擊毀三箭資本的故事,且趙長鵬知道此事。趙長鵬曾多次警告SBF的魯莽行為,但SBF無視他。隨著事情變得更糟,趙長鵬別無選擇,只能將這個問題公之于眾。這導致趙長鵬在3天前發布了一條推文,搞垮了FTX。我詢問了消息來源以確保它不是錯誤信息,結果證明這是趙長鵬的一個非常親密的朋友,演講者是主要中心化交易所的資深人士。不過,Mario Nawfal稱其刪除了(具體描述上述事件的)推文,因為上述演講者立即了面臨巨大的壓力和威脅,為了避免此人陷入困境隨即刪除了它。
三箭資本聯合創始人Zhu Su轉發上述推文。此前昨日消息,Zhu Su發推表示,Alameda一直在做FTX用戶的對手盤,但LUNA事件導致其巨額損失。[2022/11/11 12:50:53]
基于ENS域名的Web3.0網站是否可以做到這一切?至少當前是極為困難的。因為它為我們帶來了極大的安全風險。
在Web2.0時代,釣魚網站攻擊時刻都在對世界網民造成著嚴重的損失,而這還是在域名無法重名的情況下。想象一下,你在網上沖浪時看到網友分享的一個鏈接,該鏈接「肉眼可見」的是某知名平臺,域名拼寫和真實地址分毫不差,于是你便點了進去。但其實這是一個通過零寬字符偽造的釣魚網站。
GuildFi宣布推出Marketplace項目Morroc:6月29日消息,Web3游戲社區GuildFi宣布推出Marketplace項目Morroc。據悉,Morroc是第一個混合游戲化市場,包含Web2和Web3項目,將首先在測試階段推出,用戶可以要求享有特權。[2022/6/29 1:38:26]
當用戶只是進行點對點轉賬時,手動輸入的習慣讓零寬字符或許只是一個無關痛癢的惡作劇。而當ENS試圖達到它的使命、命名一切數字資源時,這一切都變了。Web2.0的釣魚只是域名相似,而Web3.0的釣魚已經迭代為完全一致。這將是一個重大的安全隱患。
我們處在一個基于超鏈接編織而成的互聯網。DeFi、交易平臺、Web3.0博客、Web3.0社交;網站鏈接、dapp鏈接、API接口鏈接、一切用例的入口鏈接……若以鏈接形式存在的.eth域名不再可信,.eth如何拓展它在「網名」之外的用例?如何成為Web3.0基礎設施?ENS域名的宏大敘事如何繼續展開?這一風險或將從根基沖擊ENS的估值體系。
而頗為諷刺的是,這一問題甚至在Web2.0中并不存在。
Web2.0如何解決這一問題?
Web2.0的解決方案簡單明了——不支持使用零寬字符和拉丁字母的混排作為域名。具體可參閱《IDN2008規范》的「UTS46」標準。
前文我們曾提到零寬字符「%E2%80%8C」和「%E2%80%8D」這兩組神秘代碼。這是16進制的UTF-8編碼。它們的Unicode編號分別為「U+200C」和「U+200D」。這些字符通常被用于在阿拉伯文與印度語系等文字中,用于控制字符間是否產生連字的效果。在其他大多數語言中,你并不能打出這個字符。
而在Web2.0的域名注冊中,此類較為特殊的字符并不被接受。但這并不代表Web2.0沒有類似的攻擊手段。事實上,外形相似的域名所偽裝的釣魚網站,一直在Web2.0的世界里廣泛存在。
舉個例子,你能否準確的區分"e"和"е"、"a"和"а"、「Ο」和「O」以及「О」?這些字母包括我們頻繁使用的拉丁字母,以及較少用到的西里爾字母和希臘字母。
起初,域名注冊僅支持ASCII字符,即我們口語中所說的「英文字母」和阿拉伯數字。這也是在世界各地被使用最為廣泛的字符集,幾乎所有支持字符顯示的設備都支持ASCII,但卻不一定可以正常顯示其他文字。在IDN普及之后,域名注冊新增支持了多種語言文字,將支持字符從ASCII字符集擴展至部分Unicode字符集。這讓世界各地的人民均可使用自己的母語注冊域名,以中文為例,你可以通過「http://新華網.中國/」直接訪問新華網。
而在如此之多的文字中找到和拉丁字母相似的字符并不是什么難事。這種使用相似字符偽裝成釣魚網站進行欺詐的情況逐漸多了起來。這一欺詐被稱為同形文字攻擊。
早在2001年,以色列的安全人員發表了一篇名為《同形文字攻擊》的論文,并注冊了一個包含西里爾字母的microsoft.com的變體。這也是可考證的第一個homograph欺詐域名。可以說,homograph問題在Web2.0時代由來已久,但其危害性和嚴重性遠不及Web3.0的ENS域名。
我們以一組IDN域名為例:??.com、а??рау.com、а??рау.com。打開這些域名,你可以看到什么?
瀏覽器自動將域名轉換為了以「xn--」開頭的域名,這一編碼方式被稱為Punycode。
在《IDNA2003》的規范中,為避免homograph欺詐,域名應經過二次處理,這一過程被稱為「兼容性規范化(compatibilitynormalization,NFKC)」。在非ASCII字符域名中,所有的字符都可被通過Punycode轉換為更為通用的ASCII字符。這一編碼方式遵循UTR36標準,已被主流瀏覽器使用,這從用戶端降低了homograph攻擊的風險。
同樣,在IDN域名的注冊環節,ICANN也做出了相應的規范。各國域名注冊組織也在逐漸做出跟進,例如,俄羅斯的域名管理機構已經禁止了.ru域名中混用西里爾字母和拉丁字母。
ENS域名無疑支持著遠多于DNS域名的字符,你不僅可以像DNS一樣使用各種文字注冊域名,甚至還可以使用emoji注冊域名,以及本次被熱議的安全隱患零寬字符注冊域名。
而在Web3.0中,我們能否通過相似的手段消除這一隱患呢?
面對homographattack,ENS開發者態度曖昧
遺憾的是,ENS開發者似乎并不打算從注冊入口上解決這一問題。
在ENS社區的討論中,這一問題早在2021年4月就已被用戶提出。而ENS開發者對此的解釋是,對零寬字符的支持是在合約層面的,因此無法移除對這些可能被用于欺詐的字符。此外,還有一個更重要的原因——零寬字符支撐著emoji在ENS中的應用。
在4月份的討論中,nick向社區成員解釋,零寬字符的使用是在智能合約層級的,「不過,這很好,ENS的設計一直是這樣。」「白名單規則在這里沒用,因為域名中可以包含多個字符,而不僅僅只是emoji。」
風險控制與隱患消除
截至目前,我們尚未看到ENS團隊在合約層面有任何修復這一安全隱患的舉措。所有對于這一風險的防范均由中心化的Web2.0前端所作出。
在OpenSea,包含零寬字符的ENS域名被標記上了黃色驚嘆號。
在etherscan,存在同樣隱患的ENS域名則被標記了星號。
在Metamask上,雖然并不會額外給出風險提示,但Metamask可以識別到字符串中包含一位零寬字符,并用"?"將這一字符顯示出來。
借助于中心化的手段,ENS域名的安全風險在一定程度上有所減少。但當我們進入一個完全開放的Web3.0的世界,中心化的手段又將起到多大的作用呢?如果這隱患無法消除,ENS距離他命名一切數字資源的愿景,仍然相距甚遠。
在未來的某一天,有人發送給你一則網址為www.binance.eth的公告鏈接,你敢點開嗎?
來源:金色財經
原作者|TheSpartantGroup管理合伙人 編譯|鄒正東@火星財經 2021年,我的10大預測中有8個成功.
1900/1/1 0:00:00摘要: NFT市場回暖,交易量達到近三個月新高。本周Fantom鏈鎖倉量占比增加,TVL上升0.49%.
1900/1/1 0:00:00near最近的表現非常不錯,市值突破100億,作為以太坊2.0分片概念的公鏈,near受到a16z,coinbase的投資,其創始人來自谷歌等知名公司,目前來看near的生態在一步步完善.
1900/1/1 0:00:00比推消息,以太坊聯合創始人VitalikButerin周五在Reddit發文稱,未來將是*多鏈*的,但不會是*跨鏈*的,因為跨越多個“主權區域”的橋的安全性存在根本限制.
1900/1/1 0:00:00上個月,馬斯克發表推文稱,Web3在現階段似乎還只是一個營銷術語,“只是很好奇10年、20年甚至30年后的未來會是什么樣子。2051年聽起來就是瘋狂的未來主義.
1900/1/1 0:00:00出品|白澤研究院 周一,美國商品期貨交易委員會(CFTC)對去中心化金融公司采取了今年的首次執法,加密預測市場平臺Polymarket因提供基于場外事件的二元期權合約.
1900/1/1 0:00:00