资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
研究人员泰勒·霍恩比于2026年5月29日在Zcash的Orchard隐私池中发现了一个关键缺陷。
潜在影响
该漏洞可能允许在Orchard池中制造无限量且无法被检测的伪造ZEC。
应急响应
Zcash开放开发实验室协调了整个生态系统的修复工作,并于6月2日前完成。
人工智能辅助发现
霍恩比在传统安全研究技术之外,还使用了Anthropic近期发布的Opus 4.8模型。
后续步骤
开发人员正在评估一项网络升级方案,该方案将允许验证Zcash的供应量并证明不存在伪造代币。
Zcash修复Orchard关键伪造漏洞
在安全研究员泰勒·霍恩比证明该漏洞可在以隐私为核心的Orchard池中被利用来无限量伪造ZEC后,Zcash开发人员已修复了这一网络关键漏洞。
该问题由支持Zcash生态的独立组织Shielded Labs公开披露。据该组织称,霍恩比在2026年5月29日进行一项始于四月的安全审计过程中发现了此漏洞。发现后立即报告给了Zcash开放开发实验室的工程师,该实验室随即协调了整个生态系统的应急响应。
漏洞补丁于6月1日部署,全网络的修复工作于6月2日完成。
此次漏洞披露正值这个专注于隐私的网络经历动荡时期。6月3日,多个区块浏览器一度显示超过四小时未有新区块生成,引发了社区成员的担忧,随后基础设施提供商确认区块链本身运行正常。此前几天,在加密货币市场经历一轮强劲的周度上涨后,ZEC交易价格曾接近665美元水平,这凸显了在Orchard漏洞公告前夕,市场对该网络的关注度正急剧升高。
Orchard是Zcash最新的隐私交易池,于2022年5月推出,旨在通过零知识证明提供隐私交易。该漏洞自Orchard激活之日起便存在,直至紧急补丁部署。
据Shielded Labs称,霍恩比在本地测试环境中成功开发了一个可用的攻击程序,能够生成无限量且不被发现的伪造ZEC。该漏洞源于Orchard电路的一个约束不足的组件,使得任意虚假输入能通过一个关键的椭圆曲线乘法验证步骤。
“该漏洞真实存在且可被利用,”Shielded Labs声明,并指出如果在主网修复前执行该攻击,可能已生成无限量的伪造ZEC。
尚无被利用证据,但验证挑战依然存在
由于Orchard交易的设计本身就是隐私保护的,因此没有密码学方法可以最终确定该漏洞在修复前是否已被利用。这一限制源于其隐私保证机制,该机制隐藏了隐私池内的交易金额和历史。
尽管存在这种不确定性,Shielded Labs表示认为先前被利用的可能性很低。该组织指出,尽管经过密码学家和安全研究人员数年的审查,该漏洞此前一直未被发现。同时强调,该漏洞是通过使用先进人工智能辅助审计技术的有针对性的努力发现的,而非偶然。
该组织进一步指出,ZODL及其他生态参与者的快速响应,在问题被识别后极大地缩短了潜在的利用窗口期。
为消除对供应完整性的持续担忧,Shielded Labs正与开发人员合作制定一项提案,该提案将允许任何人验证Zcash的供应量,并证明Orchard池内不存在伪造的ZEC。该提案将涉及部署一个新的隐私池,并对Orchard持有的代币实施旋转门会计机制。
该提案预计将在未来几周内进行更详细的公开讨论,并在激活前需要社区支持和治理批准。
社区焦点转向形式化验证
此事件加剧了围绕形式化验证的讨论,该过程使用数学证明来验证软件的行为完全符合预期。
ZODL创始人乔希·斯威哈特表示,更重要的问题不是是否应该创建第二个Orchard池,而是未来如何防止类似漏洞。他认为,通过数学证明隐私交易规则被正确执行,形式化验证提供了最强大的长期解决方案。
斯威哈特解释说,该漏洞源于Orchard交易规则的缺陷,而非底层密码学的失效。目前多个团队正在努力对现有Orchard电路进行形式化验证,而未来的Zcash技术已在开发时就将形式化验证纳入考虑。
Shielded Labs也宣布了扩大其安全工作的计划,包括启动一个针对Orchard的形式化验证项目,并招聘一名安全主管和一名密码学家。
此次发现距离Cypherpunk Holdings于3月9日宣布向Zcash开放开发实验室投资500万美元还不到三个月,凸显了Zcash生态内持续的发展和基础设施支持。
Orchard关键漏洞披露后ZEC下跌36%
在关键的Orchard漏洞披露后,Zcash的原生代币ZEC经历了剧烈的市场调整,24小时内下跌约36%。此次下跌是因为投资者对漏洞在修复前可能允许无限量伪造ZEC的消息作出了反应。尽管开发者和安全研究人员表示没有证据表明该漏洞在现役网络上被利用,但这一披露引发了市场参与者不确定性的加剧,导致该资产的波动性和抛售压力增加。
