时间:2022-01-10|浏览:278
用戶喜愛的交易所
已有账号登陆后会弹出下载
昨日,域名交易者「Hero 桀」在其个人 Mirror 上发表了一篇名为《请停止注册一切 ENS 域名,因为它一文不值》的文章。Hero 桀自称是资深 Web2.0 域名交易者,曾卖出 xiaomiquan、wuyinli 等多个知名域名,目前仍持有 ouyi 这一优质域名。
该文章指出了一个肉眼不可见的「ZWJ(零宽字符)」所导致的设计疏漏,正为 ENS 埋下重大安全风险。该文章在部分加密社区流传甚广,并引发了部分投资者对 ENS 的质疑。
这一问题允许多个肉眼所见完全相同的.eth 域名同时出现。正如 Web3.0 革新了陈旧的传统互联网一样,在 Web3.0 时代,ENS 也为钓鱼攻击带来了 Web2.0 不曾出现过的全新升级的新方法。
在现阶段,「.eth」域名更多的被作为「网名」而广泛使用,一个独特的 eth 域名就像 Web2.0 时代的 QQ 靓号。在这种难以称之为基础设施的应用场景下,一些设计疏漏虽然会对用户造成困扰,但终归无法撼动 ENS 去中心化域名龙头的地位。
而在 ENS 的愿景实现之后,这个疏漏仍然是可以被忽视的吗?「Decentralised naming for wallets, websites, & more.」这是 ENS 官网上用醒目的字体所写的宏大使命。在这个愿景中,ENS 将成为命名一切数字资源的域名系统、打开 theblockbeats.eth 就像打开 theblockbeats.info 一样自然,而此时 ENS 的零宽字符将为整个 Web3.0 世界带来深远的安全隐患。
零宽字符,让 ENS 距离成为 Web3.0 基础设施更远了一步。
我,V 神,打钱
当你看到「vitalik.eth」时,你会认为这个人是谁?毫无疑问,这一 ENS 域名由 V 神所有。那么,我能否注册这一域名呢?按照 ENS 的规则,这一域名已被注册,其他用户自然无法在注册同样的域名。但值得注意的是,这里仅仅指对计算机而言完全一致的域名。那么,我有没有办法找到一个和 V 神域名有所不同但看上去又一致的域名呢?
当然可以,只要在任意位置插入 ZWJ 即可。
ZWJ(zero width joiner)即零宽字符,这一符号颇为特殊。对于计算机来说,ZWJ 仍然为一个字符,在 Unicode 字符集中拥有独立的编码,你在 Word 键入这一字符它仍会被计入字数统计。而这一字符的宽度却为 0,也就是说对于肉眼而言,零宽字符完全不可见。
这也就意味着,我只要在「vitalik」这一单词中任意位置插入零宽字符,即可注册一个肉眼看上去和 V 神域名完全一致的 ENS 域名。
在注册 ENS 域名时,只要在任意位置键入「%E2%80%8C」或者「%E2%80%8D」,即可在单词中插入一个零宽字符。这样,一个 V 神同款 ENS 即可成功注册了。如果插入零宽字符之后,依然已被人提前注册,你甚至可以插入连续的两个、三个、四个……多个零宽字符,直至尝试到无人注册为止
做不好域名的 ENS,叙事难以持续
ENS 不止是 Ethereum 网络的重要基建之一,同样也是 Web3.0 网络的重要基建。ENS 的创始人曾公开表示,ENS 的愿景是要做「全球每一个数字资源的域名服务商」。不止是用户的账户名,更是整个 Web3.0 网络的命名系统。
还记得早年间关于 Web3.0 最初版本的想象吗?去中心化存储保存文件、去中心化域名提供寻址系统、智能合约拥有链上计算的能力、去中心化钱包充当支付通道,在这个版本的 Web3.0 中,一切都是运行于去中心化网络、无需许可、无审查的,这是一个真正自由的互联网。在这个版本中,使用 Web3.0 浏览器访问 theblockbeats.eth 就像你打开 theblockbeats.info 一样自然。
遗憾的是,这一版本的 Web3.0,至今尚未实现。且主流浏览器至今尚未支持.eth 域名的访问。尽管 ENS 仍在持续的建设之中,但它似乎难以成为这一版本的 Web3.0 的主流基础设施了。倘若真的建成,也将为 Web3.0 时代的网上冲浪留下巨大的安全隐患。
仔细回想一下,你是如何打开这篇文章的?
想必你定当是在某处见到了本篇文章的链接,鼠标或手指的一次点击,将你带到了这个页面。而绝非是在地址栏键入漫长的一串 毋庸置疑,几乎所有的用户,都在使用 URL 进行网上冲浪。一个又一个纵横交错的超链接构成了我们当今时代的互联网,超链接组织起了互联网的繁杂信息、超链接为搜索引擎提供了寻找信息的技术基础、超链接为信息提供了开放自由的互联通道,可以说没有超链接,就没有当今世界的互联网。
基于 ENS 域名的 Web3.0 网站是否可以做到这一切?至少当前是极为困难的。因为它为我们带来了极大的安全风险。
在 Web2.0 时代,钓鱼网站攻击时刻都在对世界网民造成着严重的损失,而这还是在域名无法重名的情况下。想象一下,你在网上冲浪时看到网友分享的一个链接,该链接「肉眼可见」的是某知名平台,域名拼写和真实地址分毫不差,于是你便点了进去。但其实这是一个通过零宽字符伪造的钓鱼网站。
当用户只是进行点对点转账时,手动输入的习惯让零宽字符或许只是一个无关痛痒的恶作剧。而当 ENS 试图达到它的使命、命名一切数字资源时,这一切都变了。Web2.0 的钓鱼只是域名相似,而 Web3.0 的钓鱼已经迭代为完全一致。这将是一个重大的安全隐患。
我们处在一个基于超链接编织而成的互联网。DeFi、交易平台、Web3.0 博客、Web3.0 社交;网站链接、dapp 链接、API 接口链接、一切用例的入口链接……若以链接形式存在的.eth 域名不再可信,.eth 如何拓展它在「网名」之外的用例?如何成为 Web3.0 基础设施?ENS 域名的宏大叙事如何继续展开?这一风险或将从根基冲击 ENS 的估值体系。
而颇为讽刺的是,这一问题甚至在 Web2.0 中并不存在。