Zcash开发者上周紧急发布补丁,此前发现Orchard隐私池存在一个严重漏洞,攻击者可能利用它无限制造假ZEC。该漏洞由安全研究员Taylor Hornby于5月29日通过AI辅助形式化方法发现,随后引发紧急修复行动,仅四天后便通过硬分叉完成修复。但由于Zcash的隐私架构使得供应量审计无法进行,团队无法证明该漏洞曾被利用——亦无法证明从未被利用。
漏洞及其发现
该漏洞存在于halo2_gadgets代码库中椭圆曲线乘法组件的约束不足部分,该组件是支撑Orchard的零知识证明系统的一部分。自2022年5月Orchard主网激活以来,该漏洞已存在约四年。这意味着任何知晓此漏洞的人理论上都可以凭空铸造ZEC,且不会在链上留下痕迹。
Hornby使用针对加密代码训练的形式化验证工具发现了这一问题。该漏洞影响halo2_gadgets v0.5.0之前的所有版本、orchard v0.14.0之前的版本,以及zcashd v5.0.0至v6.12.3版本。
紧急部署补丁
漏洞披露数小时内,团队通过Zebra 4.5.3推送了软分叉,暂时完全禁用了Orchard交易。永久修复由NU6.2硬分叉(Zebra 5.0)完成,该分叉于6月2日在区块3,364,600激活,并修正了电路本身。受影响的节点用户需立即升级以保持正确链上状态。
为Zcash开发做出贡献的Shielded Labs在声明中表示,他们认为此前被利用的可能性较低,但无法确切证明。这种不确定性根植于系统设计:隐私池隐藏了交易金额和余额,使得在密码学上无法对总供应量进行审计。
无法回答的问题
Ripple首席技术官David Schwartz就实际风险发表了看法。他说,假设漏洞从未被触发,那些从不转移币的被动持有者将是安全的。但这一条件无法验证。唯一能确认的方法是破坏Zcash旨在保护的隐私盾牌。
这是一个罕见的时刻:隐私币的核心特性变成了其最大的负担。如果攻击者铸造了假ZEC并将其混入流通,根本无法察觉。供应量可能已被膨胀,而无人知晓。
市场反应
ZEC并未等待答案。5月29日漏洞披露后,ZEC价格在单日交易中暴跌超过30%,一度触及一个多月以来的最低水平。抛售反映的不仅是漏洞本身,还有对其潜在影响的不确定性。一种无法验证自身供应量的隐私币,至少短期内很难被市场接受。
补丁现已上线,Orchard交易也已恢复。但那个悬而未决的问题——漏洞是否曾被利用?——Zcash的架构可能永远无法让人回答。
