零寬字符對ENS的影響 或比你想象的更大_WEB

昨日，一位資深的Web2.0域名交易者「Hero桀」在其個人Mirror上發表了一篇名為《請停止注冊一切ENS域名，因為它一文不值》的文章。Hero桀自稱是資深Web2.0域名交易者，并曾賣出xiaomiquan、wuyinli等多個知名域名，目前仍持有ouyi這一優質域名。

該文章指出了一個肉眼不可見的「ZWJ」所導致的設計疏漏，正為ENS埋下重大安全風險。該文章在部分加密社區流傳甚廣，并引發了部分投資者對ENS的質疑。

這一問題允許多個肉眼所見完全相同的.eth域名同時出現。正如Web3.0革新了陳舊的傳統互聯網一樣，在Web3.0時代，ENS也為釣魚攻擊帶來了Web2.0不曾出現過的全新升級的新方法。

在現階段，「.eth」域名更多的被作為「網名」而廣泛使用，一個獨特的eth域名就像Web2.0時代的QQ靚號。在這種難以稱之為基礎設施的應用場景下，一些設計疏漏雖然會對用戶造成困擾，但終歸無法撼動ENS去中心化域名龍頭的地位。

而在ENS的愿景實現之后，這個疏漏仍然是可以被忽視的嗎？「Decentralisednamingforwallets,websites,&more.」這是ENS官網上用醒目的字體所寫的宏大使命。在這個愿景中，ENS將成為命名一切數字資源的域名系統、打開theblockbeats.eth就像打開theblockbeats.info一樣自然，而此時ENS的零寬字符將為整個Web3.0世界帶來深遠的安全隱患。

零寬字符，讓ENS距離成為Web3.0基礎設施更遠了一步。

我，V神，打錢

韓國央行明年將試點面向私營部門的CBDC支付:金色財經報道，韓國央行發行的CBDC將于明年開始面向公眾的首次支付實驗（實證實驗）。商業銀行相關人士表示，韓國央行計劃針對去年7月參與CBDC模擬的金融機構，進行小額支付CBDC實驗的公開發行。在此基礎上，針對民間企業進行CBDC試點測試。該部門將于明年進行。大額支付型CBDC的發行可以盡可能在韓國銀行線上進行設想。[2023/6/30 22:09:34]

當你看到「vitalik.eth」時，你會認為這個人是誰？毫無疑問，這一ENS域名由V神所有。那么，我能否注冊這一域名呢？按照ENS的規則，這一域名已被注冊，其他用戶自然無法在注冊同樣的域名。但值得注意的是，這里僅僅指對計算機而言完全一致的域名。那么，我有沒有辦法找到一個和V神域名有所不同但看上去又一致的域名呢？

當然可以，只要在任意位置插入ZWJ即可。

ZWJ即零寬字符，這一符號頗為特殊。對于計算機來說，ZWJ仍然為一個字符，在Unicode字符集中擁有獨立的編碼，你在Word鍵入這一字符它仍會被計入字數統計。而這一字符的寬度卻為0，也就是說對于肉眼而言，零寬字符完全不可見。

這也就意味著，我只要在「vitalik」這一單詞中任意位置插入零寬字符，即可注冊一個肉眼看上去和V神域名完全一致的ENS域名。

在注冊ENS域名時，只要在任意位置鍵入「%E2%80%8C」或者「%E2%80%8D」，即可在單詞中插入一個零寬字符。這樣，一個V神同款ENS即可成功注冊了。如果插入零寬字符之后，依然已被人提前注冊，你甚至可以插入連續的兩個、三個、四個……多個零寬字符，直至嘗試到無人注冊為止。

比特幣礦企Riot延遲提交10-K文件:金色財經報道，比特幣礦企Riot Platforms(RIOT)推遲向美國證券交易委員會提交其年度10-K報告，原因是其會計師事務所就該公司與其比特幣資產相關的減值計算提出了問題。Riot在周四提交給美國證券交易委員會（SEC）的文件中寫道，“在評估了這種修訂后的減值評估方法的影響后，注冊人確定其某些財務報表和報告中存在重大錯誤。”具體來說，Riot表示其之前發布的2022年、2021年和2020年的財務報表“包含重大錯誤，因此不應作為評估依據。”Riot表示正在努力修改其業績，并希望在15天的提交延期窗口內提交年度報告。

此前消息，本周早些時候，同為礦企的Marathon Digital(MARA)表示，在美國證券交易委員會對其計算數字資產減值的方法提出質疑后，該公司需要重述其2021年經審計的部分業績和2022年未經審計的季度報告。Marathon此前計劃在周二收盤后發布其2022年第四季度業績，但現在已推遲。[2023/3/3 12:39:50]

做不好域名的ENS，敘事難以持續

ENS不止是Ethereum網絡的重要基建之一，同樣也是Web3.0網絡的重要基建。ENS的創始人曾公開表示，ENS的愿景是要做「全球每一個數字資源的域名服務商」。不止是用戶的賬戶名，更是整個Web3.0網絡的命名系統。

還記得早年間關于Web3.0最初版本的想象嗎？去中心化存儲保存文件、去中心化域名提供尋址系統、智能合約擁有鏈上計算的能力、去中心化錢包充當支付通道，在這個版本的Web3.0中，一切都是運行于去中心化網絡、無需許可、無審查的，這是一個真正自由的互聯網。在這個版本中，使用Web3.0瀏覽器訪問theblockbeats.eth就像你打開theblockbeats.info一樣自然。

Filecoin母公司Protocol Labs宣布裁員21%:金色財經報道，去中心化文件存儲網絡Filecoin背后的公司Protocol Labs首席執行官Juan Benet周五在一篇博客文章中宣布，該公司將裁員21%。

Benet稱，“極具挑戰性的經濟衰退”作為裁員背后的原因，特別是對于加密領域的公司而言，這迫使公司降低成本以應對新環境。

Protocol Labs將削減多個團隊的89個職位，包括公司、會員服務和網絡產品等。博客文章沒有說明從事FIlecoin的團隊是否受到影響。[2023/2/4 11:46:56]

遺憾的是，這一版本的Web3.0，至今尚未實現。且主流瀏覽器至今尚未支持.eth域名的訪問。盡管ENS仍在持續的建設之中，但它似乎難以成為這一版本的Web3.0的主流基礎設施了。倘若真的建成，也將為Web3.0時代的網上沖浪留下巨大的安全隱患。

仔細回想一下，你是如何打開這篇文章的？

想必你定當是在某處見到了本篇文章的鏈接，鼠標或手指的一次點擊，將你帶到了這個頁面。而絕非是在地址欄鍵入漫長的一串??https://www.theblockbeats.info/news/28611?。毋庸置疑，幾乎所有的用戶，都在使用URL進行網上沖浪。一個又一個縱橫交錯的超鏈接構成了我們當今時代的互聯網，超鏈接組織起了互聯網的繁雜信息、超鏈接為搜索引擎提供了尋找信息的技術基礎、超鏈接為信息提供了開放自由的互聯通道，可以說沒有超鏈接，就沒有當今世界的互聯網。

基于ENS域名的Web3.0網站是否可以做到這一切？至少當前是極為困難的。因為它為我們帶來了極大的安全風險。

Alameda從3個關聯地址收到BAYC、MAYC等120枚NFT:1月31日消息，PeckShieldAlert數據顯示，Alameda Research地址已從3個關聯地址（0xf8e0、Alameda Research 13 和 0x8bd7）收到120枚NFT，包括32枚 BAYC、1 枚 MAYC、81 枚 SAND 相關 NFT 和 6 枚 HAPE NFT。[2023/1/31 11:38:23]

在Web2.0時代，釣魚網站攻擊時刻都在對世界網民造成著嚴重的損失，而這還是在域名無法重名的情況下。想象一下，你在網上沖浪時看到網友分享的一個鏈接，該鏈接「肉眼可見」的是某知名平臺，域名拼寫和真實地址分毫不差，于是你便點了進去。但其實這是一個通過零寬字符偽造的釣魚網站。

當用戶只是進行點對點轉賬時，手動輸入的習慣讓零寬字符或許只是一個無關痛癢的惡作劇。而當ENS試圖達到它的使命、命名一切數字資源時，這一切都變了。Web2.0的釣魚只是域名相似，而Web3.0的釣魚已經迭代為完全一致。這將是一個重大的安全隱患。

我們處在一個基于超鏈接編織而成的互聯網。DeFi、交易平臺、Web3.0博客、Web3.0社交；網站鏈接、dapp鏈接、API接口鏈接、一切用例的入口鏈接……若以鏈接形式存在的.eth域名不再可信，.eth如何拓展它在「網名」之外的用例？如何成為Web3.0基礎設施？ENS域名的宏大敘事如何繼續展開？這一風險或將從根基沖擊ENS的估值體系。

而頗為諷刺的是，這一問題甚至在Web2.0中并不存在。

Web2.0如何解決這一問題？

OpenSea在遭美國唱片業協會投訴后取消數十個音樂相關ENS域名拍賣:金色財經消息，NFT市場OpenSea在收到美國唱片業協會(RIAA)的停止和終止信函后，取消了“universalmusic.eth”、“atlanticrecords.eth”等數十個以音樂為主題的ENS域名拍賣。

RIAA認為，OpenSea托管的這些ENS拍賣違反了美國商標法，該法律禁止創建包含“惡意營利”商標的網絡域。Web3初創公司Quadrata總法律顧問Jeffrey Blockinger表示，OpenSea對RIAA信函的初步反應表明，Web3公司開始意識到傳統產權及其保護價值可以促進NFT作為資產類別的發展。(blockworks)[2022/7/16 2:16:53]

Web2.0的解決方案簡單明了——不支持使用零寬字符和拉丁字母的混排作為域名。具體可參閱《IDN2008規范》的「UTS46」標準。

前文我們曾提到零寬字符「%E2%80%8C」和「%E2%80%8D」這兩組神秘代碼。這是16進制的UTF-8編碼。它們的Unicode編號分別為「U+200C」和「U+200D」。這些字符通常被用于在阿拉伯文與印度語系等文字中，用于控制字符間是否產生連字的效果。在其他大多數語言中，你并不能打出這個字符。

而在Web2.0的域名注冊中，此類較為特殊的字符并不被接受。但這并不代表Web2.0沒有類似的攻擊手段。事實上，外形相似的域名所偽裝的釣魚網站，一直在Web2.0的世界里廣泛存在。

舉個例子，你能否準確的區分"e"和"е"、"a"和"а"、「Ο」和「O」以及「О」？這些字母包括我們頻繁使用的拉丁字母，以及較少用到的西里爾字母和希臘字母。

起初，域名注冊僅支持ASCII字符，即我們口語中所說的「英文字母」和阿拉伯數字。這也是在世界各地被使用最為廣泛的字符集，幾乎所有支持字符顯示的設備都支持ASCII，但卻不一定可以正常顯示其他文字。在IDN普及之后，域名注冊新增支持了多種語言文字，將支持字符從ASCII字符集擴展至部分Unicode字符集。這讓世界各地的人民均可使用自己的母語注冊域名，以中文為例，你可以通過「http://新華網.中國/」直接訪問新華網。

而在如此之多的文字中找到和拉丁字母相似的字符并不是什么難事。這種使用相似字符偽裝成釣魚網站進行欺詐的情況逐漸多了起來。這一欺詐被稱為同形文字攻擊。

早在2001年，以色列的安全人員發表了一篇名為《同形文字攻擊》的論文，并注冊了一個包含西里爾字母的microsoft.com的變體。這也是可考證的第一個homograph欺詐域名。可以說，homograph問題在Web2.0時代由來已久，但其危害性和嚴重性遠不及Web3.0的ENS域名。

我們以一組IDN域名為例：??.com、а??рау.com、а??рау.com。打開這些域名，你可以看到什么？

瀏覽器自動將域名轉換為了以「xn--」開頭的域名，這一編碼方式被稱為Punycode。

在《IDNA2003》的規范中，為避免homograph欺詐，域名應經過二次處理，這一過程被稱為「兼容性規范化(compatibilitynormalization,NFKC)」。在非ASCII字符域名中，所有的字符都可被通過Punycode轉換為更為通用的ASCII字符。這一編碼方式遵循UTR36標準，已被主流瀏覽器使用，這從用戶端降低了homograph攻擊的風險。

同樣，在IDN域名的注冊環節，ICANN也做出了相應的規范。各國域名注冊組織也在逐漸做出跟進，例如，俄羅斯的域名管理機構已經禁止了.ru域名中混用西里爾字母和拉丁字母。

ENS域名無疑支持著遠多于DNS域名的字符，你不僅可以像DNS一樣使用各種文字注冊域名，甚至還可以使用emoji注冊域名，以及本次被熱議的安全隱患零寬字符注冊域名。

而在Web3.0中，我們能否通過相似的手段消除這一隱患呢？

面對homographattack，ENS開發者態度曖昧

遺憾的是，ENS開發者似乎并不打算從注冊入口上解決這一問題。

在ENS社區的討論中，這一問題早在2021年4月就已被用戶提出。而ENS開發者對此的解釋是，對零寬字符的支持是在合約層面的，因此無法移除對這些可能被用于欺詐的字符。此外，還有一個更重要的原因——零寬字符支撐著emoji在ENS中的應用。

ENS創始人nick.eth針對零寬字符問題做出了這樣的回應：「我們不像ICANN對大部分通用頂級域名那么嚴格，像emoji這樣的域名就很好的運用了ENS。」「ENS禁止解析非UTS-46規范的域名并不在合約層面實現——將規范寫入合約是不切實際的——這應作為客戶端所需解決問題的一部分。」當然，他也對用戶做出了積極的表態，「我們將考慮對規范化規則作出補充，以禁止您發現的這種情況。」

emoji表情符號數量繁雜，事實上，有大量的emoji均為基礎emoji的復合，例如，「女人」、「零寬字符」、「火箭」三個連在一起即會被計算機識別為「宇航員」。通過零寬字符，可以在精簡編碼集的基礎上納入更多的表情。而這也是ENS支持幾乎所有emoji的基礎。因此，ENS無法屏蔽掉零寬字符的使用。

前文我們曾提到Web2.0的「.tk」域名，這是世界上第一個支持emoji的域名，傳統的Web2.0域名是如何解決這一問題的？在前文提到的《IDN2008規范》的「UTS46」標準中，零寬字符在不同文字中的使用、在emoji中的使用，均被做出嚴格規范。

在4月份的討論中，nick向社區成員解釋，零寬字符的使用是在智能合約層級的，「不過，這很好，ENS的設計一直是這樣。」「白名單規則在這里沒用，因為域名中可以包含多個字符，而不僅僅只是emoji。」

風險控制與隱患消除

截至目前，我們尚未看到ENS團隊在合約層面有任何修復這一安全隱患的舉措。所有對于這一風險的防范均由中心化的Web2.0前端所作出。

在OpenSea，包含零寬字符的ENS域名被標記上了黃色驚嘆號。

在etherscan，存在同樣隱患的ENS域名則被標記了星號。

在Metamask上，雖然并不會額外給出風險提示，但Metamask可以識別到字符串中包含一位零寬字符，并用"?"將這一字符顯示出來。

借助于中心化的手段，ENS域名的安全風險在一定程度上有所減少。但當我們進入一個完全開放的Web3.0的世界，中心化的手段又將起到多大的作用呢？如果這隱患無法消除，ENS距離他命名一切數字資源的愿景，仍然相距甚遠。

在未來的某一天，有人發送給你一則網址為www.binance.eth的公告鏈接，你敢點開嗎？

Tags：ENSWEBWEB3WEB3.0SENSO幣Webuyweb3游戲是什么意思web3.0幣種在中國合法嗎

BNB