Zcash 證實 Orchard 私隱池出現致命漏洞　ZEC 一度急挫 43%

CoinDesk 報道，Zcash 生態確認其私隱交易池 Orchard 出現一項嚴重漏洞，理論上可被用作偽造無限數量的 ZEC；相關修補已於 6 月 1 日完成。由於 Orchard 以私隱保護為核心設計，目前無法在鏈上核實該漏洞在 2022 年 5 月至 2026 年 6 月期間是否曾被利用。 消息公布後，ZEC 跌至約 250 美元，盤中一度錄得 43% 最大跌幅。 報道指出，漏洞由安全研究員 Taylor Hornby 於 5 月 29 日發現。Hornby 受 Zcash 團隊委託進行安全研究，並在 Anthropic 的 Claude Opus 協助下編寫出可完整運作的利用程式碼。問題出在 Orchard 對交易輸入的驗證邏輯：表面上看似有檢查輸入是否符合規則，但實際未能有效落實必要約束，令攻擊者可構造欺詐輸入並仍可通過零知識證明驗證，從而憑空產生 ZEC；這些偽造代幣在系統層面與合法代幣無從區分。 Hornby 表示，他只在本地環境完成驗證，並已即時向負責協調 Zcash 開發的 ZODL 披露問題，沒有在主網發動任何攻擊。Zcash 生態已於 6 月 1 日部署緊急修補，阻止漏洞被進一步利用。團隊同時承認，該漏洞可能在約 4 年時間內具備可被利用的條件。難點在於 Orchard 屬私隱池，交易金額與參與者資訊被隱藏，亦意味無法透過加密方式追溯過去是否曾出現隱蔽增發。 為應對後續風險，Shielded Labs 提出推動網絡升級方案，包括部署新的私隱池，並為來自 Orchard 的代幣加入「turnstile accounting」核驗機制。按構想，現有 Orchard 代幣需通過一個可驗證的檢查點，以識別是否存在偽造供應。該提案仍需社群治理批准，並按 Zcash 標準網絡升級流程推進；更詳細方案預計下周公布。 除升級計劃外，Shielded Labs 亦表示將啟動對整個 Orchard 電路的數學驗證，並聘請安全主管及密碼學研究員。事件亦令市場關注 AI 在安全研究上的作用。Claude Opus 4.8 於 5 月 28 日公開發布，研究人員在模型上線後約 24 小時內便發現這項長期存在的關鍵漏洞。隨更強模型持續推出，加密協議面對的攻防節奏或進一步加快。