昨日,一位资深的Web2.0域名交易者「Hero桀」在其个人Mirror上发表了一篇名为《请停止注册一切ENS域名,因为它一文不值》的文章。Hero桀自称是资深Web2.0域名交易者,并曾卖出xiaomiquan、wuyinli等多个知名域名,目前仍持有ouyi这一优质域名。
该文章指出了一个肉眼不可见的「ZWJ」所导致的设计疏漏,正为ENS埋下重大安全风险。该文章在部分加密社区流传甚广,并引发了部分投资者对ENS的质疑。
这一问题允许多个肉眼所见完全相同的.eth域名同时出现。正如Web3.0革新了陈旧的传统互联网一样,在Web3.0时代,ENS也为钓鱼攻击带来了Web2.0不曾出现过的全新升级的新方法。
在现阶段,「.eth」域名更多的被作为「网名」而广泛使用,一个独特的eth域名就像Web2.0时代的QQ靓号。在这种难以称之为基础设施的应用场景下,一些设计疏漏虽然会对用户造成困扰,但终归无法撼动ENS去中心化域名龙头的地位。
而在ENS的愿景实现之后,这个疏漏仍然是可以被忽视的吗?「Decentralisednamingforwallets,websites,&more.」这是ENS官网上用醒目的字体所写的宏大使命。在这个愿景中,ENS将成为命名一切数字资源的域名系统、打开theblockbeats.eth就像打开theblockbeats.info一样自然,而此时ENS的零宽字符将为整个Web3.0世界带来深远的安全隐患。
零宽字符,让ENS距离成为Web3.0基础设施更远了一步。
我,V神,打钱
当你看到「vitalik.eth」时,你会认为这个人是谁?毫无疑问,这一ENS域名由V神所有。那么,我能否注册这一域名呢?按照ENS的规则,这一域名已被注册,其他用户自然无法在注册同样的域名。但值得注意的是,这里仅仅指对计算机而言完全一致的域名。那么,我有没有办法找到一个和V神域名有所不同但看上去又一致的域名呢?
Azuki创始团队成员STEAMBOY:Elementals涉及土、火、闪电和水4个元素领域:金色财经报道,Azuki官推发布创始团队成员STEAMBOY文章,阐述了拟推出的Elementals系列NFT创作想法。STEAMBOY称,Elementals的想法建立在Azuki根源之上,并利用这些基础来创造一些新的、令人惊叹的东西。Elementals涉及土、火、闪电和水4个元素领域,每个领域都有其独特之处。此外,在过去的六个月里,Azuki还招募了Tenn、Tomugi和Skycrow等数字艺术家来扩大团队规模。[2023/6/25 21:59:01]
当然可以,只要在任意位置插入ZWJ即可。
ZWJ即零宽字符,这一符号颇为特殊。对于计算机来说,ZWJ仍然为一个字符,在Unicode字符集中拥有独立的编码,你在Word键入这一字符它仍会被计入字数统计。而这一字符的宽度却为0,也就是说对于肉眼而言,零宽字符完全不可见。
这也就意味着,我只要在「vitalik」这一单词中任意位置插入零宽字符,即可注册一个肉眼看上去和V神域名完全一致的ENS域名。
在注册ENS域名时,只要在任意位置键入「%E2%80%8C」或者「%E2%80%8D」,即可在单词中插入一个零宽字符。这样,一个V神同款ENS即可成功注册了。如果插入零宽字符之后,依然已被人提前注册,你甚至可以插入连续的两个、三个、四个……多个零宽字符,直至尝试到无人注册为止。
40,330 ETH从未知钱包转移到Coinbase:金色财经报道,数据显示,40,330 ETH(价值约74,193,359美元)从未知钱包转移到Coinbase。[2023/5/2 14:37:48]
做不好域名的ENS,叙事难以持续
ENS不止是Ethereum网络的重要基建之一,同样也是Web3.0网络的重要基建。ENS的创始人曾公开表示,ENS的愿景是要做「全球每一个数字资源的域名服务商」。不止是用户的账户名,更是整个Web3.0网络的命名系统。
还记得早年间关于Web3.0最初版本的想象吗?去中心化存储保存文件、去中心化域名提供寻址系统、智能合约拥有链上计算的能力、去中心化钱包充当支付通道,在这个版本的Web3.0中,一切都是运行于去中心化网络、无需许可、无审查的,这是一个真正自由的互联网。在这个版本中,使用Web3.0浏览器访问theblockbeats.eth就像你打开theblockbeats.info一样自然。
遗憾的是,这一版本的Web3.0,至今尚未实现。且主流浏览器至今尚未支持.eth域名的访问。尽管ENS仍在持续的建设之中,但它似乎难以成为这一版本的Web3.0的主流基础设施了。倘若真的建成,也将为Web3.0时代的网上冲浪留下巨大的安全隐患。
仔细回想一下,你是如何打开这篇文章的?
想必你定当是在某处见到了本篇文章的链接,鼠标或手指的一次点击,将你带到了这个页面。而绝非是在地址栏键入漫长的一串??https://www.theblockbeats.info/news/28611?。毋庸置疑,几乎所有的用户,都在使用URL进行网上冲浪。一个又一个纵横交错的超链接构成了我们当今时代的互联网,超链接组织起了互联网的繁杂信息、超链接为搜索引擎提供了寻找信息的技术基础、超链接为信息提供了开放自由的互联通道,可以说没有超链接,就没有当今世界的互联网。
Aave已在Goerli、Mumbai、Optimism和Arbritum测试网上部署V3.0.1版本:据官方推特,DeFi协议Aave已在Goerli、Mumbai、Optimism和Arbritum测试网上部署V3.0.1版本,想进行测试项目方和开发人员可在官网链接测试网模式。
此前金色财经报道,Aave团队成员0xGraham.lens称,Aave V3可能会于本周在以太坊主网上推出。[2023/1/19 11:20:20]
基于ENS域名的Web3.0网站是否可以做到这一切?至少当前是极为困难的。因为它为我们带来了极大的安全风险。
在Web2.0时代,钓鱼网站攻击时刻都在对世界网民造成着严重的损失,而这还是在域名无法重名的情况下。想象一下,你在网上冲浪时看到网友分享的一个链接,该链接「肉眼可见」的是某知名平台,域名拼写和真实地址分毫不差,于是你便点了进去。但其实这是一个通过零宽字符伪造的钓鱼网站。
当用户只是进行点对点转账时,手动输入的习惯让零宽字符或许只是一个无关痛痒的恶作剧。而当ENS试图达到它的使命、命名一切数字资源时,这一切都变了。Web2.0的钓鱼只是域名相似,而Web3.0的钓鱼已经迭代为完全一致。这将是一个重大的安全隐患。
我们处在一个基于超链接编织而成的互联网。DeFi、交易平台、Web3.0博客、Web3.0社交;网站链接、dapp链接、API接口链接、一切用例的入口链接……若以链接形式存在的.eth域名不再可信,.eth如何拓展它在「网名」之外的用例?如何成为Web3.0基础设施?ENS域名的宏大叙事如何继续展开?这一风险或将从根基冲击ENS的估值体系。
而颇为讽刺的是,这一问题甚至在Web2.0中并不存在。
BlockFi:持有的客户资金50%为短期头寸,10%作为抵押品:7月7日消息,BlockFi周三晚上向用户发送电子邮件称,BlockFi在应对市场波动的同时,继续将风险管理放在首位。
它确认“100%的零售客户提现请求”得到兑现,而只有10%的客户资金被作为抵押品持有。50%资金以短期头寸的形式持有,其余可能是向第三方提供、产生收益的长期贷款。
该公司还澄清称,从未与Celsius有过业务往来,也没有参与DeFi协议的“投机性押注”。
邮件最后引用BlockFi首席执行官兼创始人Zac Prince的话:“我非常有信心的是在未来的某个时刻(可能是6个月或18个月),我们将在未来几个月的某个时间点回顾过去,我们会说,‘那是一个非凡的买入时机。’之所以会出现这种情况,是因为这种资产类别仍有很大的长期增长空间。”
据此前报道,加密借贷平台BlockFi首席执行官Zac Prince宣布,公司已与FTX US达成以下协议(尚待股东批准):FTX US向BlockFi提供4亿美元的循环信贷额度;为FTX US提供以最高2.4亿美元的可变价格收购BlockFi的选择权。(Cryptoslate)[2022/7/7 1:57:24]
Web2.0如何解决这一问题?
Web2.0的解决方案简单明了——不支持使用零宽字符和拉丁字母的混排作为域名。具体可参阅《IDN2008规范》的「UTS46」标准。
前文我们曾提到零宽字符「%E2%80%8C」和「%E2%80%8D」这两组神秘代码。这是16进制的UTF-8编码。它们的Unicode编号分别为「U+200C」和「U+200D」。这些字符通常被用于在阿拉伯文与印度语系等文字中,用于控制字符间是否产生连字的效果。在其他大多数语言中,你并不能打出这个字符。
Coinbase已上线Optimism (OP):金色财经报道,据官方推特,Coinbase宣布已于太平洋时间5月31日15:30(北京时间6月1日6:30)上线Optimism (OP)。需要注意的是,Coinbase仅支持在Optimism网络上添加Optimism (OP),提醒用户不要通过以太坊或其他网络发送此资产,否则资金可能会永久丢失。
根据最新公告更新,由于Optimism网络的拥塞,交易可能需要比平时更长的时间。[2022/6/1 3:54:43]
而在Web2.0的域名注册中,此类较为特殊的字符并不被接受。但这并不代表Web2.0没有类似的攻击手段。事实上,外形相似的域名所伪装的钓鱼网站,一直在Web2.0的世界里广泛存在。
举个例子,你能否准确的区分"e"和"е"、"a"和"а"、「Ο」和「O」以及「О」?这些字母包括我们频繁使用的拉丁字母,以及较少用到的西里尔字母和希腊字母。
起初,域名注册仅支持ASCII字符,即我们口语中所说的「英文字母」和阿拉伯数字。这也是在世界各地被使用最为广泛的字符集,几乎所有支持字符显示的设备都支持ASCII,但却不一定可以正常显示其他文字。在IDN普及之后,域名注册新增支持了多种语言文字,将支持字符从ASCII字符集扩展至部分Unicode字符集。这让世界各地的人民均可使用自己的母语注册域名,以中文为例,你可以通过「http://新华网.中国/」直接访问新华网。
而在如此之多的文字中找到和拉丁字母相似的字符并不是什么难事。这种使用相似字符伪装成钓鱼网站进行欺诈的情况逐渐多了起来。这一欺诈被称为同形文字攻击。
早在2001年,以色列的安全人员发表了一篇名为《同形文字攻击》的论文,并注册了一个包含西里尔字母的microsoft.com的变体。这也是可考证的第一个homograph欺诈域名。可以说,homograph问题在Web2.0时代由来已久,但其危害性和严重性远不及Web3.0的ENS域名。
我们以一组IDN域名为例:??.com、а??рау.com、а??рау.com。打开这些域名,你可以看到什么?
浏览器自动将域名转换为了以「xn--」开头的域名,这一编码方式被称为Punycode。
在《IDNA2003》的规范中,为避免homograph欺诈,域名应经过二次处理,这一过程被称为「兼容性规范化(compatibilitynormalization,NFKC)」。在非ASCII字符域名中,所有的字符都可被通过Punycode转换为更为通用的ASCII字符。这一编码方式遵循UTR36标准,已被主流浏览器使用,这从用户端降低了homograph攻击的风险。
同样,在IDN域名的注册环节,ICANN也做出了相应的规范。各国域名注册组织也在逐渐做出跟进,例如,俄罗斯的域名管理机构已经禁止了.ru域名中混用西里尔字母和拉丁字母。
ENS域名无疑支持着远多于DNS域名的字符,你不仅可以像DNS一样使用各种文字注册域名,甚至还可以使用emoji注册域名,以及本次被热议的安全隐患零宽字符注册域名。
而在Web3.0中,我们能否通过相似的手段消除这一隐患呢?
面对homographattack,ENS开发者态度暧昧
遗憾的是,ENS开发者似乎并不打算从注册入口上解决这一问题。
在ENS社区的讨论中,这一问题早在2021年4月就已被用户提出。而ENS开发者对此的解释是,对零宽字符的支持是在合约层面的,因此无法移除对这些可能被用于欺诈的字符。此外,还有一个更重要的原因——零宽字符支撑着emoji在ENS中的应用。
ENS创始人nick.eth针对零宽字符问题做出了这样的回应:「我们不像ICANN对大部分通用顶级域名那么严格,像emoji这样的域名就很好的运用了ENS。」「ENS禁止解析非UTS-46规范的域名并不在合约层面实现——将规范写入合约是不切实际的——这应作为客户端所需解决问题的一部分。」当然,他也对用户做出了积极的表态,「我们将考虑对规范化规则作出补充,以禁止您发现的这种情况。」
emoji表情符号数量繁杂,事实上,有大量的emoji均为基础emoji的复合,例如,「女人」、「零宽字符」、「火箭」三个连在一起即会被计算机识别为「宇航员」。通过零宽字符,可以在精简编码集的基础上纳入更多的表情。而这也是ENS支持几乎所有emoji的基础。因此,ENS无法屏蔽掉零宽字符的使用。
前文我们曾提到Web2.0的「.tk」域名,这是世界上第一个支持emoji的域名,传统的Web2.0域名是如何解决这一问题的?在前文提到的《IDN2008规范》的「UTS46」标准中,零宽字符在不同文字中的使用、在emoji中的使用,均被做出严格规范。
在4月份的讨论中,nick向社区成员解释,零宽字符的使用是在智能合约层级的,「不过,这很好,ENS的设计一直是这样。」「白名单规则在这里没用,因为域名中可以包含多个字符,而不仅仅只是emoji。」
风险控制与隐患消除
截至目前,我们尚未看到ENS团队在合约层面有任何修复这一安全隐患的举措。所有对于这一风险的防范均由中心化的Web2.0前端所作出。
在OpenSea,包含零宽字符的ENS域名被标记上了黄色惊叹号。
在etherscan,存在同样隐患的ENS域名则被标记了星号。
在Metamask上,虽然并不会额外给出风险提示,但Metamask可以识别到字符串中包含一位零宽字符,并用"?"将这一字符显示出来。
借助于中心化的手段,ENS域名的安全风险在一定程度上有所减少。但当我们进入一个完全开放的Web3.0的世界,中心化的手段又将起到多大的作用呢?如果这隐患无法消除,ENS距离他命名一切数字资源的愿景,仍然相距甚远。
在未来的某一天,有人发送给你一则网址为www.binance.eth的公告链接,你敢点开吗?
原标题:涉比特币合同的效力应如何认定?北京首例认定比特币“挖矿”合同无效案一审宣判比特币是一种通过特定计算机程序计算出来的虚拟货币,参与者使用专业计算机设备执行特定算法成功后.
1900/1/1 0:00:00头条▌V神:跨链桥存在“基本安全限制”金色财经报道,1月8日,以太坊联合创始人兼核心开发人员VitalikButerin今天在推特上转发了一个Reddit帖子链接,其中他讨论了对多链未来的信念.
1900/1/1 0:00:00区块链技术和?NFT?无处不在,一些大品牌已经涉足该领域,事实证明它们可以产生真正的参与度。营销人员总是在寻找新的策略和技术来获得竞争优势,因此在未来一年,有很多关于NFT和区块链技术如何能够提.
1900/1/1 0:00:00原标题:《Web3:一个自证协议的时代》谈到Web3.0,大多人会想到区块链、token、元宇宙等等这些概念.
1900/1/1 0:00:00头条▌微信发行音乐NFT藏品金色财经报道,在2022微信公开课现场,微信面向在场嘉宾发行了典藏版音乐NFT藏品.
1900/1/1 0:00:00过去,我曾向希望在加密领域获得全职工作的陌生人和朋友提供建议,我之前已经详细地写过这个。但是已经有几年了,我想提供一些新的可行的建议,并用最近的例子更新我的建议.
1900/1/1 0:00:00