WEB3.0:零宽字符对ENS的影响 或比你想象的更大_web3.0币龙头

昨日，一位资深的Web2.0域名交易者「Hero桀」在其个人Mirror上发表了一篇名为《请停止注册一切ENS域名，因为它一文不值》的文章。Hero桀自称是资深Web2.0域名交易者，并曾卖出xiaomiquan、wuyinli等多个知名域名，目前仍持有ouyi这一优质域名。

该文章指出了一个肉眼不可见的「ZWJ」所导致的设计疏漏，正为ENS埋下重大安全风险。该文章在部分加密社区流传甚广，并引发了部分投资者对ENS的质疑。

这一问题允许多个肉眼所见完全相同的.eth域名同时出现。正如Web3.0革新了陈旧的传统互联网一样，在Web3.0时代，ENS也为钓鱼攻击带来了Web2.0不曾出现过的全新升级的新方法。

在现阶段，「.eth」域名更多的被作为「网名」而广泛使用，一个独特的eth域名就像Web2.0时代的QQ靓号。在这种难以称之为基础设施的应用场景下，一些设计疏漏虽然会对用户造成困扰，但终归无法撼动ENS去中心化域名龙头的地位。

而在ENS的愿景实现之后，这个疏漏仍然是可以被忽视的吗？「Decentralisednamingforwallets,websites,&more.」这是ENS官网上用醒目的字体所写的宏大使命。在这个愿景中，ENS将成为命名一切数字资源的域名系统、打开theblockbeats.eth就像打开theblockbeats.info一样自然，而此时ENS的零宽字符将为整个Web3.0世界带来深远的安全隐患。

PeckShield：第五大比特币钱包持有94,643枚BTC，或被美国政府控制:金色财经报道，据PeckShield监测发现，第五大比特币钱包持有94,643枚BTC（目前价值约24.6亿美元），据信处于美国政府的控制之下。

查封地址与2016年Bitfinex黑客事件直接相关。2022年2月1日，1CGA4将约567.5枚BTC（当时价值约2188万美元）转移到扣押地址。[2023/8/29 13:04:07]

零宽字符，让ENS距离成为Web3.0基础设施更远了一步。

我，V神，打钱

当你看到「vitalik.eth」时，你会认为这个人是谁？毫无疑问，这一ENS域名由V神所有。那么，我能否注册这一域名呢？按照ENS的规则，这一域名已被注册，其他用户自然无法在注册同样的域名。但值得注意的是，这里仅仅指对计算机而言完全一致的域名。那么，我有没有办法找到一个和V神域名有所不同但看上去又一致的域名呢？

当然可以，只要在任意位置插入ZWJ即可。

ZWJ即零宽字符，这一符号颇为特殊。对于计算机来说，ZWJ仍然为一个字符，在Unicode字符集中拥有独立的编码，你在Word键入这一字符它仍会被计入字数统计。而这一字符的宽度却为0，也就是说对于肉眼而言，零宽字符完全不可见。

这也就意味着，我只要在「vitalik」这一单词中任意位置插入零宽字符，即可注册一个肉眼看上去和V神域名完全一致的ENS域名。

外媒：Tether报告的二季度运营利润明显低于上季度净利润:8月8日消息，据福布斯发布分析文章称，Tether上周在其网站上宣布，第二季度“运营”利润超过10亿美元，较前三个月增长30%。而Tether第一季度报告称，其“净利润”为14.8亿美元。因此增加30%可能会使截至6月30日的季度“净利润”达到19.2亿美元。但Tether在其最新发布的报告中并未报告“净利润”。它只报告“运营”利润，这通常高于净利润，因为要获得净利润，公司必须扣除非运营费用，包括税收和利息。仅在这种情况下，Tether大幅提升的运营利润显然比上一季度的净利润低了近5亿美元。该媒体指责Tether混淆视听，称该公司没有在公告中定义营业利润，也没有解释为什么不再像前两个季度那样报告净利润（2022年第四季度称净利润为7亿美元）。[2023/8/8 21:31:39]

在注册ENS域名时，只要在任意位置键入「%E2%80%8C」或者「%E2%80%8D」，即可在单词中插入一个零宽字符。这样，一个V神同款ENS即可成功注册了。如果插入零宽字符之后，依然已被人提前注册，你甚至可以插入连续的两个、三个、四个……多个零宽字符，直至尝试到无人注册为止。

做不好域名的ENS，叙事难以持续

ENS不止是Ethereum网络的重要基建之一，同样也是Web3.0网络的重要基建。ENS的创始人曾公开表示，ENS的愿景是要做「全球每一个数字资源的域名服务商」。不止是用户的账户名，更是整个Web3.0网络的命名系统。

一地址几乎用所有资产换取了PEPE，目前获利约为123万美元:5月4日消息，据Lookonchain监测，一只鲸鱼几乎用所有资产换取了$PEPE。鲸鱼用20.62$WBTC（约59万美元）、17B$CULT（约9万美元）、44,194$UNI（约23.5万美元）和19.96$ETH（约3.7万美元）换取1.72T$PEPE（目前为219万美元）。$PEPE的买入价约为0.0000005533美元，获利约为123万美元。[2023/5/4 14:42:54]

还记得早年间关于Web3.0最初版本的想象吗？去中心化存储保存文件、去中心化域名提供寻址系统、智能合约拥有链上计算的能力、去中心化钱包充当支付通道，在这个版本的Web3.0中，一切都是运行于去中心化网络、无需许可、无审查的，这是一个真正自由的互联网。在这个版本中，使用Web3.0浏览器访问theblockbeats.eth就像你打开theblockbeats.info一样自然。

遗憾的是，这一版本的Web3.0，至今尚未实现。且主流浏览器至今尚未支持.eth域名的访问。尽管ENS仍在持续的建设之中，但它似乎难以成为这一版本的Web3.0的主流基础设施了。倘若真的建成，也将为Web3.0时代的网上冲浪留下巨大的安全隐患。

仔细回想一下，你是如何打开这篇文章的？

想必你定当是在某处见到了本篇文章的链接，鼠标或手指的一次点击，将你带到了这个页面。而绝非是在地址栏键入漫长的一串??https://www.theblockbeats.info/news/28611?。毋庸置疑，几乎所有的用户，都在使用URL进行网上冲浪。一个又一个纵横交错的超链接构成了我们当今时代的互联网，超链接组织起了互联网的繁杂信息、超链接为搜索引擎提供了寻找信息的技术基础、超链接为信息提供了开放自由的互联通道，可以说没有超链接，就没有当今世界的互联网。

Robinhood Q4收入预计将超过3.96亿美元:2月7日消息，Robinhood 定于 2 月 8 日（周三）收盘后发布其第四季度收益报告。预计该公司将创下迄今为止最高的季度收入数字。收入预计将超过 3.96 亿美元，这是迄今为止最高的季度数字，高于一年前的 3.63 亿美元。大部分收入来自 Robinhood 向客户收取的证券借贷和保证金账户利息。[2023/2/7 11:52:55]

基于ENS域名的Web3.0网站是否可以做到这一切？至少当前是极为困难的。因为它为我们带来了极大的安全风险。

在Web2.0时代，钓鱼网站攻击时刻都在对世界网民造成着严重的损失，而这还是在域名无法重名的情况下。想象一下，你在网上冲浪时看到网友分享的一个链接，该链接「肉眼可见」的是某知名平台，域名拼写和真实地址分毫不差，于是你便点了进去。但其实这是一个通过零宽字符伪造的钓鱼网站。

当用户只是进行点对点转账时，手动输入的习惯让零宽字符或许只是一个无关痛痒的恶作剧。而当ENS试图达到它的使命、命名一切数字资源时，这一切都变了。Web2.0的钓鱼只是域名相似，而Web3.0的钓鱼已经迭代为完全一致。这将是一个重大的安全隐患。

我们处在一个基于超链接编织而成的互联网。DeFi、交易平台、Web3.0博客、Web3.0社交；网站链接、dapp链接、API接口链接、一切用例的入口链接……若以链接形式存在的.eth域名不再可信，.eth如何拓展它在「网名」之外的用例？如何成为Web3.0基础设施？ENS域名的宏大叙事如何继续展开？这一风险或将从根基冲击ENS的估值体系。

加密借贷平台Ledn：客户资产安全，定期进行Proof of Reserves认证:6月13日消息，加密货币借贷平台Ledn发推称，针对用户对加密资产借贷空间提出的某些担忧，以下是Ledn对此的立场：

- 我们的业务基本面强劲，客户的资产安全可靠；

- 为了实现透明度，我们决定成为第一家完成Proof of Reserves认证的数字资产借贷公司，每六个月做一次。我们的下一次Proof of Reserves将于2022年7月31日完成；

- 客户资产得到了妥善的会计处理和最大限度的保护；

- 平台仅支持BTC和USDC；

- 我们完全通过向合格机构放贷来产生客户资产的收益率。[2022/6/13 4:22:19]

而颇为讽刺的是，这一问题甚至在Web2.0中并不存在。

Web2.0如何解决这一问题？

Web2.0的解决方案简单明了——不支持使用零宽字符和拉丁字母的混排作为域名。具体可参阅《IDN2008规范》的「UTS46」标准。

前文我们曾提到零宽字符「%E2%80%8C」和「%E2%80%8D」这两组神秘代码。这是16进制的UTF-8编码。它们的Unicode编号分别为「U+200C」和「U+200D」。这些字符通常被用于在阿拉伯文与印度语系等文字中，用于控制字符间是否产生连字的效果。在其他大多数语言中，你并不能打出这个字符。

而在Web2.0的域名注册中，此类较为特殊的字符并不被接受。但这并不代表Web2.0没有类似的攻击手段。事实上，外形相似的域名所伪装的钓鱼网站，一直在Web2.0的世界里广泛存在。

举个例子，你能否准确的区分"e"和"е"、"a"和"а"、「Ο」和「O」以及「О」？这些字母包括我们频繁使用的拉丁字母，以及较少用到的西里尔字母和希腊字母。

起初，域名注册仅支持ASCII字符，即我们口语中所说的「英文字母」和阿拉伯数字。这也是在世界各地被使用最为广泛的字符集，几乎所有支持字符显示的设备都支持ASCII，但却不一定可以正常显示其他文字。在IDN普及之后，域名注册新增支持了多种语言文字，将支持字符从ASCII字符集扩展至部分Unicode字符集。这让世界各地的人民均可使用自己的母语注册域名，以中文为例，你可以通过「http://新华网.中国/」直接访问新华网。

而在如此之多的文字中找到和拉丁字母相似的字符并不是什么难事。这种使用相似字符伪装成钓鱼网站进行欺诈的情况逐渐多了起来。这一欺诈被称为同形文字攻击。

早在2001年，以色列的安全人员发表了一篇名为《同形文字攻击》的论文，并注册了一个包含西里尔字母的microsoft.com的变体。这也是可考证的第一个homograph欺诈域名。可以说，homograph问题在Web2.0时代由来已久，但其危害性和严重性远不及Web3.0的ENS域名。

我们以一组IDN域名为例：??.com、а??рау.com、а??рау.com。打开这些域名，你可以看到什么？

浏览器自动将域名转换为了以「xn--」开头的域名，这一编码方式被称为Punycode。

在《IDNA2003》的规范中，为避免homograph欺诈，域名应经过二次处理，这一过程被称为「兼容性规范化(compatibilitynormalization,NFKC)」。在非ASCII字符域名中，所有的字符都可被通过Punycode转换为更为通用的ASCII字符。这一编码方式遵循UTR36标准，已被主流浏览器使用，这从用户端降低了homograph攻击的风险。

同样，在IDN域名的注册环节，ICANN也做出了相应的规范。各国域名注册组织也在逐渐做出跟进，例如，俄罗斯的域名管理机构已经禁止了.ru域名中混用西里尔字母和拉丁字母。

ENS域名无疑支持着远多于DNS域名的字符，你不仅可以像DNS一样使用各种文字注册域名，甚至还可以使用emoji注册域名，以及本次被热议的安全隐患零宽字符注册域名。

而在Web3.0中，我们能否通过相似的手段消除这一隐患呢？

面对homographattack，ENS开发者态度暧昧

遗憾的是，ENS开发者似乎并不打算从注册入口上解决这一问题。

在ENS社区的讨论中，这一问题早在2021年4月就已被用户提出。而ENS开发者对此的解释是，对零宽字符的支持是在合约层面的，因此无法移除对这些可能被用于欺诈的字符。此外，还有一个更重要的原因——零宽字符支撑着emoji在ENS中的应用。

在4月份的讨论中，nick向社区成员解释，零宽字符的使用是在智能合约层级的，「不过，这很好，ENS的设计一直是这样。」「白名单规则在这里没用，因为域名中可以包含多个字符，而不仅仅只是emoji。」

风险控制与隐患消除

截至目前，我们尚未看到ENS团队在合约层面有任何修复这一安全隐患的举措。所有对于这一风险的防范均由中心化的Web2.0前端所作出。

在OpenSea，包含零宽字符的ENS域名被标记上了黄色惊叹号。

在etherscan，存在同样隐患的ENS域名则被标记了星号。

在Metamask上，虽然并不会额外给出风险提示，但Metamask可以识别到字符串中包含一位零宽字符，并用"?"将这一字符显示出来。

借助于中心化的手段，ENS域名的安全风险在一定程度上有所减少。但当我们进入一个完全开放的Web3.0的世界，中心化的手段又将起到多大的作用呢？如果这隐患无法消除，ENS距离他命名一切数字资源的愿景，仍然相距甚远。

在未来的某一天，有人发送给你一则网址为www.binance.eth的公告链接，你敢点开吗？

来源：金色财经

标签：WEB3.0以太坊ETHSOLweb3.0币龙头以太坊最新价格人民币VETHSOLVE币

DYDX热门资讯