隱私幣老大哥翻車？Zcash驚“造假”漏洞

作者：David Christopher；編譯：白話區塊鏈

這篇文章圍繞 Zcash 最新披露的 Orchard 漏洞展開：問題雖然已經被修復，但更棘手的是，漏洞可能會允許攻擊者在隱私池中偽造 ZEC，而隱私設計本身又讓未來無法修復之前是否真的出現過假幣。因此，事件的焦點不再只是“修改了一個漏洞”，而是“系統可行驗證的方式重建信任”。

文章最值得關注的有三點：第一，市場不會只接受“被利用概率很低”的假設；第二，Zcash 可能需要通過遷移到新的屏蔽池來模擬一次“清帳”；第三，形式化驗證正在從加分項變為所有協議級基礎設施。對於強調複雜密碼學與隱私設計的項目來說，這都是一次非常現實的警告。

Zcash 這周過得不太好。

5 月 29 日，安全研究員 Taylor Hornby 在使用 Opus 4.8、為獨立的 Zcash 支持機構 Shielded Labs 研究該協議時，發現了 Orchard——Zcash 最新、也是規模最大的屏蔽池——中一個嚴重存在的缺陷。他隨後將問題私下披露給了 Zcash 開放開發實驗室（ZODL），作為協議核心團隊之一，在數小時內完成確認並協商開始響應。

由於披露過多細節可能等於把攻擊藍圖直接交到潛在攻擊者手中，修復工作分階段推進：

6月2日：一次緊急軟分叉取消了果園交易。

6月3日：** NU6.2 硬分叉重新啟用了該池，並上線修改後的電路（電路）**——前置規定了交易何為有效的“規則手冊”。

表面上看，這就像一個已經解密收尾的故事：嚴重漏洞被發現、被修復，而且在已知範圍內沒有發生利用。

但昨天公布的完整事件後復盤，把這件事的性質徹底改寫了。

復盤顯示，這實際上是一個“偽造（伪造）漏洞” ，理論上可能允許攻擊者在 Orchard 內部無限鑄造假 ZEC；更糟糕的是，目前還沒有辦法檢驗這個漏洞是否在修復之前已經被利用過。

儘管相關團隊依然認為“結果被利用的可能性不高”，但在新的語境下，故事已經從“Zcash 修改了一個 bug”，變成了“Zcash 修改了一個可能在 Orchard 中製造假 ZEC 的 bug，而系統目前還沒有正式的辦法證明這種事情從未發生過”。

什麼是 Orchard，哪裡出現問題 Orchard 是 Zcash 最新的屏蔽池，該層隱藏用於金額、發送者和接收者資訊的隱私層。

和其他隱私系統一樣，它依賴零知識證明運行。用戶可以在不暴露具體細節的前提下，證明須遵守系統規則；而這些規則，就寫在電路（電路）裡。

這個漏洞出自2022年5月 Orchard 上線以來就已經接受存在，理論上可能允許人在 Orchard 內部偽造 ZEC，並讓網路將其真實資產當作其真實資產。由於 Orchard 會隱藏金額與發票，這些偽造的單位甚至可能一直留在池中，而不會在公開鏈上留下痕跡。

目前，至少目前，由於 Orchard 是公開的，人們無法直接審查它的歷史記錄，也無法下結論證明：在修復完成之前，從未有任何假 ZEC 被創造出來。

團隊認為“之前被利用的概率不高”，這個判斷並非毫無依據：漏洞埋得很深，很容易發現，而且需要最後的專業能力才能利用。

但市場定價看重的不是“概率判斷”，而是“可驗證的證明”。在 Zcash 真正確認沒有假 ZEC 被鑄造出來之前，這個協議實際上是在要求用戶去相信一件目前還無法證明的事。

接下來會發生什麼？Zcash 需要找到一種方法，或者證明 Orchard 里沒有過量的副本 ZEC，或者強行把帳戶本推進到一個假 ZEC 無法繼續藏身的狀態。

修復這個大概率會來自兩個方向：第一，對補貼進行審計；第二，讓這一類漏洞未來更難被遺漏。

在審計方面，Zcash 創始人 Zooko 建議，把當前的屏蔽供應遷移到一個新的果園池中。這裡的關鍵機制是旋轉門審計：一個池子能夠跨越的價值上限，不能超過曾經合法流入的價值邊界。

如果強制讓果園中的資金都經過這個“旋轉門”，那麼格式化出來的 ZEC 必然會撞上一堵堵牆：嘗試突破的價值，會超過鏈上能夠證明因為曾經流入該池的真實價值。圍繞這一方案的詳細提示，預計將在下周給出。

至於第二個方向，ZODL 的 Josh Swihart 指向了“形式化驗證（形式化驗證）”。簡單說，就是先把系統規則寫成機器可檢驗的形式，再去證明電路確實遵守了這些規則。

它並不能取代人的判斷，但它把最關鍵的問題，從“相信審計員已經完全抓住了所有問題”，推進為“直接證明關鍵約束確實存在”。

Zcash 眼下有兩個可能的糾偏路徑。其一，是先做一個經過形式化驗證的新版本 Orchard，作為過渡方案；理論上它可以瞄準7月底的 NU7 升級窗口，但目前尚未正式拍板。

更長遠、也更清晰的答案，Tachyon。它是 Zcash 正在設計中的新一代屏蔽協議，底層結構會更簡單，同時圍繞形式化驗證工具來構建。

目標很明確：減少果園那種高度手寫、難以徹底推理的複雜性，從而讓相關電路可以接受更嚴格的驗證。在超光速粒子落地之前，一個經過驗證的果園池，可能會成為中間橋梁。

歡迎來到一個新階段：人工智能已經開始幫助人類發現合理破解協議的漏洞。

文中還提到，嬰兒已經在討論這次問題如何被提示驅動的研究過程所觸發。無論最後細節如何確定性，這起事件都再次提醒市場：未來的協議安全假設，正在被更強的自動化研究能力重寫。

在我們等待“到底有沒有 ZEC 真正流入果園”這一問題的後續更新時，更重要的教訓可能是：你持有的 Token 背後，項目方是否與安全研究員、工程師之間建立了足夠緊密且高質量的協作關係。

正如文中引用 Tayvano 的觀點所暗示的那樣，Zcash 之所以可能在攻擊者發現這個問題之前，可能是因為它和中間之間有這樣一層關係。你祈禱，但更重要的是驗證流程本身。

這聽起來也許是在反覆強調同一個警告，但還是值得再次重申：我們已經雙腳踏入一個新的範式，而這個範式有能力擊穿那些保護著目前價值數十億美元的協議。