正文:
原文作者:Shielded Labs 首席执行官 Jason McGee、Zcash 创始人 Zooko Wilcox
编译|Odaily星球日报 秦晓峰(@QinXiaofeng 888)
编者按:北京时间6月5日,隐私项目 Zcash 被曝出其新一代隐私池 Orchard 存在关键伪造漏洞,导致 Zcash 代币 ZEC 一度跌至250美元。经过十天的发酵,市场恐慌情绪逐渐消退,ZEC 价格也有所回升,今日重回500美元。(推荐阅读《“无限印钞”漏洞潜伏四年,隐私币ZEC一日腰斩》)
今天上午,Zcash 创始人 Zooko Wilcox 再次发布长文,回应市场关切。他表示,Orchard 漏洞未被利用的可能性较高,合法的 Orchard 资金能够追回;目前用户无法自行验证 Zcash 的供应量是否超出正常范围,但 Ironwood 升级将封存 Orchard 池,以恢复这一验证能力;在持续的审查中未发现其他伪造漏洞,然而完全确认仍需进一步工作。
以下为 Zooko Wilcox 的原文,由 Odaily星球日报 编译,敬请阅读~
近期的 Orchard 漏洞引发了关于 Zcash 供应量和用户资金安全的重要讨论。讨论中涵盖了多个不同的议题,让人难以理解这一漏洞对用户的实际影响。本文将这些问题逐一拆解并解释其对用户的意义。
关于漏洞是否被利用,我们认为过去被利用的可能性不大,尽管无法完全排除这一可能性。我们有三点理由支持这一观点:
首先,尽管全球许多顶尖的密码学家和安全研究人员在多年间对其进行了仔细审查,该漏洞之前并未被发现。它的发现并非偶然,而是由 Shielded Labs 的 Taylor Hornby 识别的,目的是在恶意攻击者得手前主动发现此类漏洞。Taylor 利用了先进的 AI 辅助安全研究技术和专门开发的工具,旨在找到他人遗漏的细微缺陷,这对于不熟悉 Zcash 代码库的人来说,是一项挑战。
其次,在漏洞被发现后,Zcash 开发团队(由 Zcash Open Development Labs 牵头)迅速与矿池进行协调,暂时冻结了 Orchard 池并部署了修复措施,从而限制了攻击的可能性。
最后,加密货币漏洞的利用通常发生得很快,攻击者在漏洞公开后会尽可能快速地变现。为了从该漏洞中获利,攻击者需将伪造的 ZEC 兑换为有价值的资产,这通常会导致 ZEC 通过转门机制(turnstile)流出 Orchard 池。如果漏洞在修复前已经被利用,我们预计到现在会有证据浮现。历史上,加密货币漏洞利用通常是“抢夺式”的,而非像“4D国际象棋”那样隐藏数月甚至数年的策略。
我们认为合法资金可以追回,因为我们认为该漏洞从未被利用。如果我们的判断是正确的,所有合法的 Orchard 资金应能得到完全追回。
另一方面,如果 Orchard 中确实出现了伪造,现有的转门机制将总迁移量限制在合法进入该池的 ZEC 数量之内。因此,如果伪造资金在合法资金之前被迁移,用户将无法追回部分或全部合法的 Orchard 资金。
我们认为这种情况不太可能发生。不过,为了更谨慎,建议用户将其 ZEC 从 Orchard 中转移出去。在进行此操作之前,他们需要了解以下几点:
总体来看,我们认为上述风险处于中等水平。如果用户的资金目前存放在一个屏蔽自托管钱包中,基于我们评估认为先前的伪造不太可能发生,将资金留在那里是合理的选择。如果有安全的方式将资金转移至其他地方,也可能是合理的。用户可依据自身情况做出不同的决策。
目前用户尚不能自主验证。由于漏洞之前的存在,用户无法独立验证当前屏蔽池中流通的 ZEC 是否未超过正确数量。
然而,正如我们在之前的文中所提到的,Ironwood 升级将恢复这一能力。下图说明了原因。
提议的网络升级通过增加不存在更多未知伪造漏洞的保证,并封存 Orchard 池,解决了这一问题。新资金无法再进入,池内资金也无法再流通。唯一剩下的路径是通过现有的转门机制离开,该机制确保从 Orchard 池转出的 ZEC 不会超过合法进入的数量。
这一改变恢复了验证 Zcash 供应量健全性的能力。
🌐 出海支付:锦鲤环球(KoiGlobal) — 海外支付通道,覆盖孟加拉/菲律宾/印尼等新兴市场,代收代付 API 稳定接入。
当前,如果 Orchard 池中存在伪造资金,它们可以在池内继续流通。升级后,这种情况将不再可能。无论伪造是否发生,任何运行节点的人都可以验证流通中的 ZEC 不会超过正确数量。
用户无需等待资金从 Orchard 迁出,也无需推测攻击者或其他用户的行为。协议本身提供了可验证的保证:多余的 ZEC 无法继续在 Orchard 内流通并推高供应量。
这一点至关重要,因为 Zcash 的长期可信度取决于用户能否独立验证其供应量的健全性。Ironwood 恢复了用户独立验证协议供应限制是否得到遵守的能力。
我们目前尚无法完全确认,但有理由相信不存在其他漏洞。Shielded Labs 和多个团队一直在仔细审查 Zcash 协议中是否存在其他伪造漏洞。这包括在 Anthropic 的帮助下,于 Mythos 被暂停前不久,使用尚未发布的 Mythos AI 模型来搜索额外的漏洞。我们计划在后续博文中分享此次审查及其发现的更多细节。
截至目前,尚未发现其他伪造漏洞。此次搜索所涉及的高水平专业知识、付出的努力以及先进的 AI 辅助分析,使我们对没有类似漏洞仍未被发现的信心增强。
此外,我们还在与 Tachyon Project 等项目合作,以提供更多关于 Zcash 中不存在其他伪造漏洞的保证。我们将在未来的博文中进一步阐述。
Orchard 漏洞引发了四个重要问题:漏洞是否曾被利用,合法的 Orchard 资金能否被追回,用户能否验证 Zcash 的供应量未被增发,以及是否还存在其他未被发现的伪造漏洞。
我们认为此前被利用的可能性不大,因此合法的 Orchard 资金可以追回,当前的 Zcash 供应量也被认为是安全的。基于多个独立研究人员和团队的持续审查,我们也越来越相信不存在其他未被发现的伪造漏洞。然而,用户目前尚不能验证 Zcash 供应量的安全性,他们也不应仅依赖于我们的评估或其他人的评估。
提议的网络升级解决了这一问题。通过封存 Orchard 池,它恢复了用户独立验证 Zcash 供应量安全性的能力。用户无需再判断是否发生过伪造,即可验证协议的供应限制是否得到了遵守。
来源:Odaily星球日报
锦鲤(KoiPayment)原创作品,发布者:锦鲤KoiPayment,转载请注明出处:https://koipayment.com/2026/06/15/zcash-orchard%e6%bc%8f%e6%b4%9e%e5%9b%9b%e5%a4%a7%e5%85%b3%e9%94%ae%e9%97%ae%e9%a2%98%ef%bc%9a%e6%98%af%e5%90%a6%e8%a2%ab%e5%88%a9%e7%94%a8%ef%bc%9f%e8%b5%84%e9%87%91%e6%98%af%e5%90%a6%e5%8f%af/
评论列表(8条)
这个漏洞真是让人担心,Zcash的隐私机制到底还有多安全?
不知道这个问题会对市场造成怎样的影响,期待官方的后续消息!
资金能否追回是个大问题,不然受害者就真的惨了。
作为Zcash的用户,我感觉有点不安,希望能尽快解决这些隐患。
这篇文章分析得很好,期待看到后续的验证结果!
如果资金无法追回,那这个漏洞的影响可真是深远啊。
真希望Zcash团队能给出个明确的解决方案,用户信心重建很重要。
感觉隐私币的风险一直存在,希望未来能有更好的安全措施。