執筆者:Shannon@金色财经
2026年6月5日、Zcash公式は自発的にOrchardプライバシー池の無限増発の脆弱性を発見したことを公表した。
このニュースの影響で、市場は激しく反応し、ZECの価格は24時間で半減した。
同時に、安全研究者はClaude Opus 4.8を用いてこの脆弱性を発見・完全テストした(前例として、金色财经の報道「ZEC一日で半減後、Claude Opus 4.8がZcashを斬る」参照)。
これにより、暗号市場のパニックはさらに加速した。
しかし、ZECが50%急落した一方で、多くの真実は今後さらに解明を待つ。
例えば、「無限増発」とは一体何を意味するのか?かつてのLUNAのように無制限に増発されるのか?最悪の場合、ZECはどれだけ増えるのか?
以下に簡単に分析する。
これは重要な問題であり、慎重に解明する必要がある。
Zcash開発チームのShielded Labsは「この脆弱性により、Orchardプール内で制限なく、検知不能な偽造ZECの鋳造が可能になる」と述べている。
Zcash財団は「この脆弱性を成功裏に悪用すれば、Orchardプールは無効な状態遷移を受け入れる可能性があり、Orchard内での二重支払いも可能だが、ZECの総供給量のインフレは起きない——総供給量はZcashの回転扉(Turnstile)メカニズムによって保護されている」と述べている。
これら二つの発言はどちらも真実だが、異なる側面を指している。
ポイントは、「回転扉(Turnstile)」の仕組みを理解することにある。
Zcashの複数のプール(透明プール、Sprout、Sapling、Orchard、ロックボックスなど)間の資金流動は、クロスプール会計システムによって追跡されている。
回転扉はクロスプール会計の検証機構として、Sprout、Sapling、Orchard、透明プール、ロックボックスの各プール間の価値を追跡し、総供給量の整合性を保つ。
Zcash財団は、脆弱性が存続している間、回転扉は未承認の価値創出を検知していないと述べている。
例えるなら、「Orchardは暗号化されたブラックボックスの部屋、回転扉はその出口のゲートで、出入りの総量を記録している」。 部屋の中でいくら「コピー」した紙幣(ZEC)を偽造しても、回転扉は気づかない——なぜなら、出入りの総量だけを見ていて、部屋の内部で何が起きているかは見ていないからだ。しかし、もし「コピー」した紙幣を持ち出そうとしたとき、ゲートは出て行く量が入る量を超えていることに気づき、警告(取引拒否)を出す。
したがって、回転扉は各プールから流出する価値が流入を超えないよう制限している。
Zcashのプール体系は全部で五つ。歴史的に古い順から最新まで:
透明プール(Transparent Pool)
最も基本的なプールで、ビットコインとほぼ同じ動作——アドレス、残高、取引履歴はすべて公開されている。主要な取引所やウォレットはデフォルトで透明アドレス(tで始まる)を使用。 長所は互換性が高いこと、短所はプライバシーが全くないこと。多くのZECの「ラストワンマイル」(取引所からの出入金)はここを経由する。
Sproutプール(2016年)
Zcash最初のプライバシープールであり、歴史上初めてメインネットに導入されたzk-SNARKs実装。アドレスはzsで始まる。
重要な制約は「信頼設定(Trusted Setup)」に依存している点。複数者計算儀式を通じて公開パラメータを生成し、参加者が共謀すれば証明を偽造できる可能性がある。長年批判されてきたリスクだ。現在、Sproutは事実上レガシー状態となり、保有量も極めて少なく、公式は資産の移行を推奨している。
Saplingプール(2018年)
Zcashの第2世代プライバシープールで、性能が大きく向上。証明生成時間は分単位から秒単位に短縮され、メモリ使用量も大幅に削減。これにより、モバイル端末や軽量ウォレットでも実用的なプライバシー取引が可能に。証明システムはGroth16にアップグレードされ、送信者・受信者・金額の三要素のプライバシーを確保。依然として信頼設定に依存するが、より大規模な儀式(数百人参加)を採用。現在も一定のユーザーが利用し、約59万ZECを保有。
Orchardプール(2022年)
現役最先端のプライバシープールであり、今回の脆弱性の主な対象。最も重要な技術革新はHalo2証明システムの採用で、信頼設定の必要を完全に排除——外部儀式に依存しない安全性が向上。アドレスはu(ユニファイドアドレス)で始まる。
また、Zcash最大のプライバシープールであり、脆弱性発見前には約450万ZECを保有し、全流通量の約27%を占めていた。大部分のプライバシー取引を担っていた。今回の脆弱性はこのZK証明回路の制約ロジックに起因。
Lockboxプール
前述の4つと本質的に異なる。これはユーザー資産を格納するプライバシープールではなく、プロトコル層の開発基金の管理口座。
NU6は2024年11月の半減期に稼働し、ブロック報酬の12%をLockboxに積み立てる仕組み。 同時に、コミュニティ資金委員会(ZCG)は8%を継続分配。ECCやZcash財団の直接資金調達アドレスはこの時点で削除された。 それ以前は、これら20%は特定の3機関に直接支払われていた。
Lockboxは、プロトコルによって追跡される発行済み資金プールであり、現時点では引き出しメカニズムは未定。Zcashコミュニティは今後、適切な分散型引き出しメカニズムを決定し、資金をエコシステムの参加者に資金援助できるようにする必要がある。言い換えれば、資金はロックされているが、鍵の設計は議論中だ。
要約すると、Lockboxは「プロトコルの国庫」のようなものであり、一般ユーザーが直接触れる取引プールではない。
Lockboxの資金も回転扉の総量追跡に含まれるため、今回のOrchard脆弱性の公表においても併せて言及された——財団はLockboxの帳簿も影響を受けていないことを確認する必要がある。
これは独立したプールではなく、すべてのプールを横断するクロスプール会計の制約メカニズムだ。
各プールの過去の純流入量を記録し、いずれのプールも流出量が受け入れた総額を超えないようにしている。
この仕組みにより、Orchardの脆弱性は、たとえプール内で無限に偽造残高を作り出せたとしても、その偽造ZECを透明プールや取引所に持ち出すことは不可能となる。
なぜなら、出口のゲートは帳簿の不整合を検知するからだ。
出典:zkp.baby 6月5日データ
ここには具体的な数字の境界があり、現時点で最も重要かつあまり強調されてこなかったデータだ。
脆弱性が存続している間、発見時点でのOrchardプールの最大保有量は約450万ZEC。 一方、古いSaplingとSproutプールの保有量はそれぞれ約59.2万ZECと2.5万ZEC。
脆弱性が公表された後、現在のOrchardプールのZEC量は439.2万ZECに減少しており、約2.46%の減少にとどまる。
これにより、最悪の影響は以下の通りと推測される:
したがって、最悪ケースの「増発」すなわち「二重支払い」の上限は、Orchardプール内の約450万ZEC(流通量の約27%)となる。
Taylor Hornbyは理論上の発見だけでなく、実行可能な攻撃プログラムを構築し、ローカル環境でテストも行った。
その結果は衝撃的で、彼は無限に近い量の偽造ZECを生成できることを証明した。 もしこれをメインネットで実行すれば、無限のZECを直接自分のウォレットに鋳造でき、誰もその事実に気づかない。
ここで「無限にウォレットに鋳造」されるのは、Orchardプール内の帳簿残高の話であり、透明プールや取引所に売却された実際のZECではない。
プライバシー重視の攻撃シナリオ( Orchard内だけで活動し、プールから出さない場合)では、技術的に正しい。
しかし、換金・現金化のシナリオでは、回転扉が硬い上限となる。
ただし、もう一つの不確定要素が存在する。同じ暗号技術は残高を隠すだけでなく、链上で特定の脆弱性の悪用を証明することも不可能にしている。
Shielded Labsは、「修正前に誰かが脆弱性を悪用したかどうかを暗号学的に確定できる方法はない」と述べている。ただし、彼らは以前の悪用の可能性は低いと考えている。
これが、Shielded Labsが新たなアップグレードを提案する理由だ。
すべてのOrchard内ZECを新しい回転扉会計に通すことで、「偽造通貨が存在しないことを証明」する。 この計画は、新たなプライバシープールの導入と、Orchardプール内のすべてのトークンに対して回転扉会計を実行することを含む。
これが、現時点で市場に正の証明を提供できる唯一の道だ。
この脆弱性は、回転扉メカニズムによる硬い上限設定により、ZEC全体の無限増発にはつながらない。
しかし、Orchardプール内での残高無限偽造と二重支払いは理論上可能であり、約450万ZECのプール残高を巻き込む可能性がある。
また、プライバシー特性により、修正前に悪用されたかどうかは暗号学的に証明できない。
これが、この事件における最も解消困難な不確定性だ。
そして、その不確定性こそが最大の恐怖とリスクの源泉である。
3.56M 人気度
2.19M 人気度
55.47K 人気度
657.56M 人気度
1.4M 人気度
Zcashの急落50%の背後:ZECは本当に無限に発行できるのか 最悪の場合何が起こるか
執筆者:Shannon@金色财经
2026年6月5日、Zcash公式は自発的にOrchardプライバシー池の無限増発の脆弱性を発見したことを公表した。
このニュースの影響で、市場は激しく反応し、ZECの価格は24時間で半減した。
同時に、安全研究者はClaude Opus 4.8を用いてこの脆弱性を発見・完全テストした(前例として、金色财经の報道「ZEC一日で半減後、Claude Opus 4.8がZcashを斬る」参照)。
これにより、暗号市場のパニックはさらに加速した。
しかし、ZECが50%急落した一方で、多くの真実は今後さらに解明を待つ。
例えば、「無限増発」とは一体何を意味するのか?かつてのLUNAのように無制限に増発されるのか?最悪の場合、ZECはどれだけ増えるのか?
以下に簡単に分析する。
Zcash Orchard脆弱性はZECの無限増発を引き起こすのか?
これは重要な問題であり、慎重に解明する必要がある。
Zcash開発チームのShielded Labsは「この脆弱性により、Orchardプール内で制限なく、検知不能な偽造ZECの鋳造が可能になる」と述べている。
Zcash財団は「この脆弱性を成功裏に悪用すれば、Orchardプールは無効な状態遷移を受け入れる可能性があり、Orchard内での二重支払いも可能だが、ZECの総供給量のインフレは起きない——総供給量はZcashの回転扉(Turnstile)メカニズムによって保護されている」と述べている。
これら二つの発言はどちらも真実だが、異なる側面を指している。
ポイントは、「回転扉(Turnstile)」の仕組みを理解することにある。
Zcashの複数のプール(透明プール、Sprout、Sapling、Orchard、ロックボックスなど)間の資金流動は、クロスプール会計システムによって追跡されている。
回転扉はクロスプール会計の検証機構として、Sprout、Sapling、Orchard、透明プール、ロックボックスの各プール間の価値を追跡し、総供給量の整合性を保つ。
Zcash財団は、脆弱性が存続している間、回転扉は未承認の価値創出を検知していないと述べている。
例えるなら、「Orchardは暗号化されたブラックボックスの部屋、回転扉はその出口のゲートで、出入りの総量を記録している」。
部屋の中でいくら「コピー」した紙幣(ZEC)を偽造しても、回転扉は気づかない——なぜなら、出入りの総量だけを見ていて、部屋の内部で何が起きているかは見ていないからだ。しかし、もし「コピー」した紙幣を持ち出そうとしたとき、ゲートは出て行く量が入る量を超えていることに気づき、警告(取引拒否)を出す。
したがって、回転扉は各プールから流出する価値が流入を超えないよう制限している。
Zcashの5大プールの概要
Zcashのプール体系は全部で五つ。歴史的に古い順から最新まで:
透明プール(Transparent Pool)
最も基本的なプールで、ビットコインとほぼ同じ動作——アドレス、残高、取引履歴はすべて公開されている。主要な取引所やウォレットはデフォルトで透明アドレス(tで始まる)を使用。
長所は互換性が高いこと、短所はプライバシーが全くないこと。多くのZECの「ラストワンマイル」(取引所からの出入金)はここを経由する。
Sproutプール(2016年)
Zcash最初のプライバシープールであり、歴史上初めてメインネットに導入されたzk-SNARKs実装。アドレスはzsで始まる。
重要な制約は「信頼設定(Trusted Setup)」に依存している点。複数者計算儀式を通じて公開パラメータを生成し、参加者が共謀すれば証明を偽造できる可能性がある。長年批判されてきたリスクだ。現在、Sproutは事実上レガシー状態となり、保有量も極めて少なく、公式は資産の移行を推奨している。
Saplingプール(2018年)
Zcashの第2世代プライバシープールで、性能が大きく向上。証明生成時間は分単位から秒単位に短縮され、メモリ使用量も大幅に削減。これにより、モバイル端末や軽量ウォレットでも実用的なプライバシー取引が可能に。証明システムはGroth16にアップグレードされ、送信者・受信者・金額の三要素のプライバシーを確保。依然として信頼設定に依存するが、より大規模な儀式(数百人参加)を採用。現在も一定のユーザーが利用し、約59万ZECを保有。
Orchardプール(2022年)
現役最先端のプライバシープールであり、今回の脆弱性の主な対象。最も重要な技術革新はHalo2証明システムの採用で、信頼設定の必要を完全に排除——外部儀式に依存しない安全性が向上。アドレスはu(ユニファイドアドレス)で始まる。
また、Zcash最大のプライバシープールであり、脆弱性発見前には約450万ZECを保有し、全流通量の約27%を占めていた。大部分のプライバシー取引を担っていた。今回の脆弱性はこのZK証明回路の制約ロジックに起因。
Lockboxプール
前述の4つと本質的に異なる。これはユーザー資産を格納するプライバシープールではなく、プロトコル層の開発基金の管理口座。
NU6は2024年11月の半減期に稼働し、ブロック報酬の12%をLockboxに積み立てる仕組み。
同時に、コミュニティ資金委員会(ZCG)は8%を継続分配。ECCやZcash財団の直接資金調達アドレスはこの時点で削除された。
それ以前は、これら20%は特定の3機関に直接支払われていた。
Lockboxは、プロトコルによって追跡される発行済み資金プールであり、現時点では引き出しメカニズムは未定。Zcashコミュニティは今後、適切な分散型引き出しメカニズムを決定し、資金をエコシステムの参加者に資金援助できるようにする必要がある。言い換えれば、資金はロックされているが、鍵の設計は議論中だ。
要約すると、Lockboxは「プロトコルの国庫」のようなものであり、一般ユーザーが直接触れる取引プールではない。
Lockboxの資金も回転扉の総量追跡に含まれるため、今回のOrchard脆弱性の公表においても併せて言及された——財団はLockboxの帳簿も影響を受けていないことを確認する必要がある。
回転扉(Turnstile):すべてのプールをつなぐ安全なゲート
これは独立したプールではなく、すべてのプールを横断するクロスプール会計の制約メカニズムだ。
各プールの過去の純流入量を記録し、いずれのプールも流出量が受け入れた総額を超えないようにしている。
この仕組みにより、Orchardの脆弱性は、たとえプール内で無限に偽造残高を作り出せたとしても、その偽造ZECを透明プールや取引所に持ち出すことは不可能となる。
なぜなら、出口のゲートは帳簿の不整合を検知するからだ。
Zcash各プールの現在のZEC保有量
出典:zkp.baby 6月5日データ
最悪の場合の増発ZEC量
ここには具体的な数字の境界があり、現時点で最も重要かつあまり強調されてこなかったデータだ。
脆弱性が存続している間、発見時点でのOrchardプールの最大保有量は約450万ZEC。
一方、古いSaplingとSproutプールの保有量はそれぞれ約59.2万ZECと2.5万ZEC。
脆弱性が公表された後、現在のOrchardプールのZEC量は439.2万ZECに減少しており、約2.46%の減少にとどまる。
これにより、最悪の影響は以下の通りと推測される:
したがって、最悪ケースの「増発」すなわち「二重支払い」の上限は、Orchardプール内の約450万ZEC(流通量の約27%)となる。
"無限偽造ZEC"の可能性には未解明の部分も
Taylor Hornbyは理論上の発見だけでなく、実行可能な攻撃プログラムを構築し、ローカル環境でテストも行った。
その結果は衝撃的で、彼は無限に近い量の偽造ZECを生成できることを証明した。
もしこれをメインネットで実行すれば、無限のZECを直接自分のウォレットに鋳造でき、誰もその事実に気づかない。
ここで「無限にウォレットに鋳造」されるのは、Orchardプール内の帳簿残高の話であり、透明プールや取引所に売却された実際のZECではない。
プライバシー重視の攻撃シナリオ( Orchard内だけで活動し、プールから出さない場合)では、技術的に正しい。
しかし、換金・現金化のシナリオでは、回転扉が硬い上限となる。
ただし、もう一つの不確定要素が存在する。同じ暗号技術は残高を隠すだけでなく、链上で特定の脆弱性の悪用を証明することも不可能にしている。
Shielded Labsは、「修正前に誰かが脆弱性を悪用したかどうかを暗号学的に確定できる方法はない」と述べている。ただし、彼らは以前の悪用の可能性は低いと考えている。
これが、Shielded Labsが新たなアップグレードを提案する理由だ。
すべてのOrchard内ZECを新しい回転扉会計に通すことで、「偽造通貨が存在しないことを証明」する。
この計画は、新たなプライバシープールの導入と、Orchardプール内のすべてのトークンに対して回転扉会計を実行することを含む。
これが、現時点で市場に正の証明を提供できる唯一の道だ。
結論
この脆弱性は、回転扉メカニズムによる硬い上限設定により、ZEC全体の無限増発にはつながらない。
しかし、Orchardプール内での残高無限偽造と二重支払いは理論上可能であり、約450万ZECのプール残高を巻き込む可能性がある。
また、プライバシー特性により、修正前に悪用されたかどうかは暗号学的に証明できない。
これが、この事件における最も解消困難な不確定性だ。
そして、その不確定性こそが最大の恐怖とリスクの源泉である。