Zcash本周完成了两阶段紧急网络升级,以修复其Orchard隐私池中的一个关键漏洞——零知识证明电路中的‘可靠性’缺陷,理论上该漏洞可能让攻击者无限铸造无法检测的ZEC。该漏洞于5月29日由安全研究员Taylor Hornby在Shielded Labs委托的协议审计中发现,使用了Anthropic的Claude Opus 4.8 AI模型。修复迅速:6月2日进行软分叉,次日进行硬分叉。
漏洞发现过程
Hornby的审计发现了一个自2022年5月Orchard激活以来就潜伏的漏洞——距今已有四年。一个有效的概念验证显示,在本地测试环境中可以铸造无限数量的伪造ZEC。但根据Zcash的内部‘转门’会计机制,该漏洞从未在真实网络上膨胀ZEC供应量。然而,由于隐私交易的特性,没有确切的密码学方法可以证明从未被利用。项目的反应非常积极:Zebra 4.5.3(软分叉)于6月2日禁用Orchard交易,Zebra 5.0.0(硬分叉NU6.2)修复了漏洞并于次日重新启用。
市场剧烈波动
市场最初对硬分叉表示欢迎。ZEC于6月4日升至624美元——当周最高点。随后情况恶化。Arthur Hayes披露他于6月4日当天清仓了全部ZEC头寸,价格暴跌约50%至6月5日的309美元,市值蒸发超过30亿美元。ZEC此后有所回升,在Electric Coin Company首席执行官Josh Swihart于6月7日确认修复完成且网络安全后,交易价格约为430美元。
该漏洞之所以重大,是因为它动摇了Zcash的核心承诺:隐私交易既私密又可靠。如果攻击者能够悄无声息地铸造ZEC,整个隐私叙事就会受到毒害。反应速度——两天内两次分叉——表明团队深知其严重性。Swihart在6月7日的声明旨在向用户保证网络现已安全,但关于是否有人曾利用该漏洞的不确定性仍是一个挥之不去的问题。Zcash自身的防御系统未发现任何未经授权的价值创造,但隐私意味着你无法看到一切。
接下来会发生什么?补丁已上线,升级已完成。但需关注Shielded Labs是否进一步披露审计结果,并留意ZEC价格走势,因为交易者正在消化信心是否真正恢复。该漏洞存在了四年。修复只用了一周。
