安全研究人員 Taylor Hornby 於 5 月 29 日在 Zcash 的 Orchard 隱私池發現一項關鍵漏洞,該漏洞可能會鑄造無限數量的偽造 ZEC。此消息發布後,ZEC 在 24 小時內出現超過 40% 的價格下跌,因持有人評估是否已有假幣進入了受保護的池子。該缺陷自 Orchard 於 2022 年 5 月啟動以來一直未被察覺,在 Hornby 於私下向 Zcash 創辦人 Zooko Wilcox 揭露之前,還通過了多次安全稽核,促使 6 月 2 日部署緊急修補程式。
Taylor Hornby 於 5 月 29 日發現 Orchard 偽造缺陷
Zcash 創辦人 Zooko Wilcox 確認,Taylor Hornby 在 Orchard 中發現了一項偽造漏洞,並在 5 月 29 日私下向他揭露。該錯誤可建立無法偵測的偽造 ZEC,網路會將其當作真幣接受,而詐欺行為則會在受保護的池子內保持不受察覺。Hornby 在人工智慧模型的協助下設計出完整的攻擊利用程式,並在本地測試中生成了無限數量的偽造 ZEC。
開發者透露,該漏洞自 2022 年 5 月 Orchard 池啟動以來就已存在。該錯誤約持續未被發現四年,並在專家多次稽核後仍未被察覺。由於 Orchard 是完全受保護的系統,因此沒有加密學方法可以證明該漏洞從未遭到濫用。使 Zcash 對機密交易具吸引力的相同隱私保證,讓人無法審計在 修補程式上線之前鑄造的假幣所構成的受保護供給。
Zcash 開放開發實驗室於 6 月 2 日推出緊急修補程式
Hornby 向 Zcash 開放開發實驗室通報了該問題,該實驗室在 6 月 2 日交付修復程式之前,協調跨錢包、交易所與節點營運者的緊急應對。在 Zcash 社群論壇的一篇詳細貼文中,團隊逐步說明該漏洞,並列出下一步,包括提出強化供給驗證的方案。
儘管嚴重性十足,開發者仍透過 Shielded Labs 呼籲保持冷靜,表示他們「並不過度擔心」偽造是否確實已發生。其理由是:該漏洞在多年來接受部分世界上最具能力的密碼學家審查,仍未被找到或利用。
ZEC 在漏洞揭露後下跌 40%
ZEC 在揭露後 24 小時內約損失了 40% 的價值。該代幣在本輪行情早些時候曾飆升至超過 600 美元;在某個時間點,曾以市值取代 monero,但 Orchard 的揭露抹去了部分先前累積的漲幅。
對持有人而言,立即承擔的成本是價格,因為 ZEC 回吐了先前推動一波反彈的重要部分,而這波反彈使其成為今年表現最佳的加密資產之一。此揭露發生在隱私代幣於全球針對金融監控的反彈浪潮中加速上漲之際,ZEC 也是表現突出的選手之一。機構面向的關注也在累積中,Grayscale 正朝向一項受監管的 ZEC 產品推進。
FAQ
Taylor Hornby 於 5 月 29 日在 Zcash 發現了什麼漏洞?
Taylor Hornby 於 5 月 29 日在 Zcash 的 Orchard 隱私池發現一項偽造漏洞,該漏洞可能會鑄造無限數量的偽造 ZEC。該錯誤可製造無法偵測的假幣,網路會將其當作真幣接受,而詐欺行為則會在受保護的池子內保持不受察覺。Hornby 在人工智慧模型的協助下設計出完整的攻擊利用程式,並在本地測試中生成無限數量的偽造 ZEC。
Zcash 開發者如何回應 Orchard 的漏洞?
在 Taylor Hornby 通報該問題後,Zcash 開放開發實驗室協調了跨錢包、交易所與節點營運者的緊急應對。開發者於 6 月 2 日部署修復,並在 Zcash 社群論壇發布了詳細說明。團隊提出強化供給驗證的方案,並呼籲保持冷靜,表示他們「並不過度擔心」偽造是否確實已發生,原因是:該漏洞在多年接受具能力密碼學家審查的過程中都未被發現或利用。
為什麼在漏洞揭露後 ZEC 的價格下跌超過 40%?
ZEC 在 24 小時內下跌超過 40%,因持有人評估在修補程式上線前是否已有假幣進入了受保護的池子。由於 Orchard 是完全受保護的系統,因此沒有加密學方法可以證明該漏洞從未遭到濫用。使 Zcash 對機密交易具吸引力的相同隱私保證,讓人無法審計在 6 月 2 日修補程式上線之前鑄造的偽造幣所構成的受保護供給。
