资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Zcash创始人披露关键安全漏洞
Zcash创始人Zooko Wilcox近日披露了网络Orchard隐私池中存在一处关键安全漏洞,该漏洞可能使攻击者在未被察觉的情况下无限量伪造ZEC代币。
漏洞发现过程
该漏洞于5月29日由独立安全研究员Taylor Hornby在进行协议审计时发现。问题根源在于Orchard零知识证明电路存在逻辑缺陷,可能导致网络错误接受本应拒绝的交易。
相关实验室透露,研究人员通过结合定制人工智能工具,在本地测试环境中编写出可生成无限伪造ZEC的完整攻击程序。自2022年5月启用以来,该漏洞在Orchard池中潜伏至今,直至本周被工程师修复。
Zcash基金会指出,此漏洞可能造成Orchard池内双花问题,但不会影响ZEC总供应量。网络采用的"旋转门"记账机制限制了各资金池流出金额始终等于流入金额,基金会确认总供应量保持完整,未发现异常增发证据。
应急响应与后续措施
事件触发Zcash开放开发实验室与基金会的联合应急响应。5月31日晚间,项目方与矿工及交易所展开非公开协调。6月2日世界标准时间02:00左右,针对区块高度3,363,426的软分叉成功激活,在开发人员准备修复代码期间暂时禁用Orchard功能。
6月3日美国东部时间00:05,NU6.2硬分叉在区块3,364,600完成激活,通过修正后的电路重新启用Orchard功能。由于Orchard的隐私特性,在补丁部署前是否已遭利用在密码学上无法证实。
相关实验室强调,NU6.2升级虽修复漏洞,但无法证明Orchard资金池未曾遭篡改。其新提案计划部署全新隐私池,并通过旋转门机制追踪所有流出Orchard的资金,使任何人都能验证不存在伪造ZEC。该提案需获得社区支持并通过治理流程方可实施。
这并非Zcash首次遭遇密码学漏洞。2019年,团队曾披露旧版Sprout隐私池中存在多年未被发现的伪造漏洞,该漏洞亦无证据表明曾被利用。
