注重隱私的加密貨幣 Zcash (ZEC) 在過去 24 小時內遭受重創,在整體市場疲軟的情況下下跌約 30% 至 400 美元。非營利組織 Zcash 開發團隊 Shielded Labs 披露了區塊鏈 Orchard 隱私池中的一個關鍵漏洞,該漏洞可能威脅到代幣供應的完整性,隨後拋售加速。
週四晚間,Shielded Labs 在 X 平台上發布了詳細披露,指出該漏洞若遭利用,攻擊者可能創造無限數量的偽造 ZEC 代幣且完全無法被偵測。這就好比有人秘密取得聯準會的美元印鈔機權限,但在此情況下,即便是聯準會也無法分辨這些多出來的美元是偽造的。
該漏洞於 5 月 29 日被 Taylor Hornby 發現,他於 2026 年 4 月受 Shielded Labs 聘用,專門負責在惡意行為者之前找出協議漏洞。Hornby 與 Anthropic 近期發布的 Opus 4.8 AI 模型合作,對 Orchard 電路進行了高度針對性的審查,該電路是支撐 Zcash 最先進隱私池的加密系統。
Shielded Labs 表示,Hornby 編寫了完整的利用程式,在本地測試環境中測試時,生成了無限且無法偵測的偽造 ZEC。Shielded Labs 補充道,若在同一主網上運行該工具,將在他的主網錢包中生成無限且無法偵測的偽造代幣。
想像一下攻擊者悄悄印製無限的偽造 ZEC 並持有而不被發現。這將嚴重損害市場對代幣供應的信任,進而重創其市場價值。
Hornby 立即將漏洞披露給 Zcash Open Development Lab (ZODL),該實驗室於 6 月 1 日協調了緊急修復,在發現後數天內將其關閉。
漏洞隱藏四年未被發現
儘管修復漏洞的作法看似積極,但市場並未買單。這可能是因為 Shielded Labs 自身也承認,該漏洞自 2022 年 5 月 Orchard 啟用以來就已存在。換句話說,它在未被發現的情況下存在了四年。
讓市場情況更加複雜的是,Shielded Labs 承認無法確定該漏洞在修復前是否已被利用。
該公司表示:「由於 Orchard 的隱私特性與該漏洞的本質,僅憑密碼學無法明確判斷在漏洞被發現和修復前是否發生過此類利用。我們認為透明地說明這種不確定性至關重要。」
不過,該公司強調,基於幾個原因,漏洞很可能未被利用。首先,該漏洞逃過了經驗豐富的密碼學家多年的審查。它僅在尖端 AI 工具與刻意尋找漏洞的高技能研究人員協助下才浮出水面。且一旦發現,便迅速修復,未給任何人留下利用的時間。
Shielded Labs 表示:「我們認為他很可能成功了」,指的是 Hornby 在惡意行為者之前找出漏洞的努力。
然而,該組織謹慎補充,用戶不應僅依賴他們的評估,並提出了一項網路升級提案,允許任何人獨立驗證 ZEC 供應的完整性。該提案涉及部署新的隱私池,並對所有來自 Orchard 池的代幣強制執行轉門會計(turnstile accounting)。該公司表示將於下週發布詳細文章說明。
該公司還表示正在加速安全工作,包括繼續與 Hornby 合作、一項旨在撰寫數學證明以確認 Orchard 電路中無未發現漏洞的形式驗證專案,以及新聘安全主管與密碼學家。