Connect with us

CoinDaily Theory

ENS 域名疑有漏洞 或會傳送至假冒地址

有域名研究人員發現,透過利用「肉眼空格」zero-widthjoiner (零寬連字符)簡稱 ZWJ ,就可以騙過 ENS 而使用 ZWJ 去註冊命名一樣的域名,更可以令用調換排序和疊加 ZWJ 的方式獲得一樣的名稱,令使用者在未有仔細覆核域名時,有機會被 ENS 引導至其他地址,並將幣錯誤傳送,而引起不必要的損失。

發表於

日期:

緊貼世界各地區塊鏈社群最新資訊,追蹤 Coindaily 社交平台!

加入 TG 頻道: https://t.me/coindaily_official

Facebook:https://www.facebook.com/CoinDaily_official

Instagram:https://www.instagram.com/coindaily.official

ENS  全名「 Ethereum Name Service 」,建基在以太坊上的去中心化域名服務商,將以太坊地址縮短及轉換為易於記憶和識別的字符,更可以加入 Emoji ,形成以「.eth」結尾的以太坊域名。根據 ENS 官網顯示,目前註冊域名數量近 63 萬,用戶更超過 26 萬。

不過 CoinDaily 發現,透過利用「肉眼空格」zero-widthjoiner (零寬連字符,簡稱 ZWJ) ,就可以騙過 ENS 而註冊命名一樣的域名,更可以調換排序和疊加 ZWJ 的方式獲得同樣的名稱,令使用者在未有仔細覆核域名時,有機會被 ENS 引導至其他地址,而將資產錯誤傳送。

假冒V神的ENS域名

舉個實例:

假如 CoinDaily 要轉幣給以太坊創始人 Vitalik Buterin (V神),V神的地址是「vitalik.eth」。黑客只要在地址的前後加入 ZWJ, 就可以註冊一個「vitalik %E2%80%8D .eth」。域名在電腦看起來跟「vitalik.eth」的字串一模一樣,根本難以察覺,如果直接 Copy and Paste,更會轉帳至「vitalik %E2%80%8D .eth」。

解決方法:

直接在地址欄輸入 「vitalik.eth」;在 txt 文本上輸入「vitalik.eth」,再 copy and paste。

切記不要直接 copy and paste 任何連結 (address) 啊~

正常的ENS域名
經ZWJ修改的域名

ENS 域名需要至少三字符組成,包括 Emoji 和文字等字符,但利用 ZWJ 就可以註冊到單字符的域名。 ENS 項目亦了解過情況,最後只是在 opensea 上為有關域名加上黃色感嘆號及在下方解釋作處理。

一張含有 文字 的圖片

自動產生的描述

ENS 域名正處於尷尬的階段,同時未有辦法解決這個嚴重問題,亦有機會出現詐騙和錯誤轉賬轉到假冒地址。各位讀者在註冊自己的 ENS 時應多加考慮,轉帳至 ENS 地址時亦要再次覆核地址,以免造成財物損失。