隐私币老大哥翻车？Zcash惊“造假”漏洞

作者：David Christopher；编译：白话区块链

这篇文章围绕 Zcash 最新披露的 Orchard 漏洞展开：问题虽然已经被修复，但更棘手的是，漏洞可能会允许攻击者在隐私池中伪造 ZEC，而隐私设计本身又让未来无法修复之前是否真的出现过假币。因此，事件的焦点不再只是“修改了一个漏洞”，而是“系统可行验证的方式重建信任”。

文章最值得关注的有三点：第一，市场不会只接受“被利用概率很低”的假设；第二，Zcash 可能需要通过迁移到新的屏蔽池来模拟一次“清账”；第三，形式化验证正在从加分项变为所有协议级基础设施。对于强调复杂密码学与隐私设计的项目来说，这都是一次非常现实的警告。

Zcash 这周过得不太好。

5 月 29 日，安全研究员 Taylor Hornby 在使用 Opus 4.8、为独立的 Zcash 支持机构 Shielded Labs 研究该协议时，发现了 Orchard——Zcash 最新、也是规模最大的屏蔽池——中一个严重存在的缺陷。他随后将问题私下披露给了 Zcash 开放开发实验室（ZODL），作为协议核心团队之一，在数小时内完成确认并协商开始响应。

由于披露过多细节可能等于把攻击蓝图直接交到潜在攻击者手中，修复工作分阶段推进：

6月2日：一次紧急软分叉取消了果园交易。

6月3日：** NU6.2硬分叉重新启用了该池，并上线修改后的电路（电路）**——前置规定了交易何为有效的“规则手册”。

表面上看，这就像一个已经解密收尾的故事：严重漏洞被发现、被修复，而且在已知范围内没有发生利用。

但昨天公布的完整事件后复盘，把这件事的性质彻底改写了。

复盘显示，这实际上是一个“伪造（伪造）漏洞” ，理论上可能允许攻击者在Orchard内部无限铸造假ZEC；更糟糕的是，目前还没有办法检验这个漏洞是否在修复之前已经被利用过。

尽管相关团队依然认为“结果被利用的可能性不高”，但在新的语境下，故事已经从“Zcash 修改了一个 bug”，变成了“Zcash 修改了一个可能在 Orchard 中制造假 ZEC 的 bug，而系统目前还没有正式的办法证明这种事情从未发生过”。

什么是 Orchard，哪里出现问题 Orchard 是 Zcash 最新的屏蔽池，该层隐藏用于金额、发送者和接收者信息的隐私层。

和其他隐私系统一样，它依赖零知识证明运行。用户可以在不暴露具体细节的前提下，证明须遵守系统规则；而这些规则，就写在电路（电路）里。

这个漏洞出自2022年5月Orchard上线以来就已经接受存在，理论上可能允许人在Orchard内部伪造ZEC，并让网络将其真实资产当作其真实资产。由于Orchard会隐藏金额与发票，这些伪造的单位甚至可能一直留在池中，而不会在公开链上留下痕迹。

目前，至少目前，由于 Orchard 是公开的，人们无法直接审查它的历史记录，也无法下结论证明：在修复完成之前，从未有任何假 ZEC 被创造出来。

团队认为“之前被利用的概率不高”，这个判断并非毫无依据：漏洞埋得很深，很容易发现，而且需要最后的专业能力才能利用。

但市场定价看重的不是“概率判断”，而是“可验证的证明”。在Zcash真正确认没有假ZEC被铸造出来之前，这个协议实际上是在要求用户去相信一件目前还无法证明的事。

接下来会发生什么？Zcash 需要找到一种方法，或者证明 Orchard 里没有过量的副本 ZEC，或者强行把账户本推进到一个假 ZEC 无法继续藏身的状态。

修复这个大概率会来自两个方向：第一，对补贴进行审计；第二，让这一类漏洞未来更难被遗漏。

在审计方面，Zcash创始人Zooko建议，把当前的屏蔽供应迁移到一个新的果园池中。这里的关键机制是旋转门审计：一个池子能够跨越的价值上限，不能超过曾经合法流入的价值边界。

如果强制让果园中的资金都经过这个“旋转门”，那么格式化出来的ZEC必然会撞上一堵堵墙：尝试突破的价值，会超过链上能够证明因为曾经流入该池的真实价值。围绕这一方案的详细提示，预计将在下周给出。

至于第二个方向，ZODL的Josh Swihart指向了“形式化验证（形式化验证）”。简单说，就是先把系统规则写成机器可检验的形式，再去证明电路确实遵守了这些规则。

它并不能取代人的判断，但它把最关键的问题，从“相信审计员已经完全抓住了所有问题”，推进为“直接证明关键约束确实存在”。

Zcash眼下有两个可能的纠偏路径。其一，是先做一个经过形式化验证的新版本Orchard，作为过渡方案；理论上它可以瞄准7月底的NU7升级窗口，但目前尚未正式拍板。

更长期、也更清晰的答案，Tachyon。它是 Zcash 正在设计中的新一代屏蔽协议，底层结构会更简单，同时围绕形式化验证工具来构建。

目标很明确：减少果园那种高度手写、难以彻底推理的复杂性，从而让相关电路可以接受更严格的验证。在超光速粒子落地之前，一个经过验证的果园池，可能会成为中间桥梁。

欢迎来到一个新阶段：人工智能已经开始帮助人类发现合理破解协议的漏洞。

文中还提到，婴儿已经在讨论这次问题如何被提示驱动的研究过程所触发。无论最后细节如何确定性，这起事件都再次提醒市场：未来的协议安全假设，正在被更强的自动化研究能力重写。

在我们等待“到底有没有ZEC真的流入果园”这一问题的后续更新时，更重要的教训可能是：你持有的Token背后，项目方是否与安全研究员、工程师之间建立了足够紧密且高质量的协作关系。

正如文中引用 Tayvano 的观点所暗示的那样，Zcash 之所以可能在攻击者发现这个问题之前，可能是因为它和中间之间有这样一层关系。你祈祷，但更重要的是验证流程本身。

这听起来也许是在反复强调同一个警告，但还是值得再次重申：我们已经双脚踏入一个新的范式，而这个范式有能力击穿那些保护着目前价值数十亿美元的协议。