在安全研究人员公开披露一个严重漏洞后,注重隐私的加密货币 Zcash (ZEC) 的价格周四大幅下跌,该漏洞可能允许攻击者制造无限量的伪造 ZEC。
该漏洞存在于 Zcash 的 Orchard 屏蔽池(私人交易的核心组件)的加密电路中。根据安全工程师 Taylor Hornby 在 X 上发布的披露,该缺陷理论上会导致椭圆曲线乘法检查中的错误输入,从而绕过交易的加密验证。
Hornby 受 Shielded Labs 委托,于 5 月 29 日发现了该漏洞,并立即向 Zcash 开放开发实验室 (ZODL) 报告。我们部署了紧急响应措施,最终于 6 月 3 日激活了硬分叉来修复该问题。然而,该漏洞自 2022 年 5 月以来就存在,引发了人们对潜在的先前利用的担忧。
消息披露后,ZEC 的价格在 24 小时内下跌了 30% 以上,至 410 美元左右,抹去了近两个月的涨幅,市值缩水超过 30 亿美元。
值得注意的是,Hornby 利用了在发现前一天发布的 Anthropic 的 Claude Opus AI 来协助对 Orchard 赛道进行高度有针对性的审查。他通过构建和测试一个可生成无限伪造 ZEC 的有效漏洞来确认该错误的严重性。研究人员表示,在 Zcash 主网上运行此类漏洞将会创建“无法检测的伪造 ZEC”。
主要的担忧是,由于Orchard固有的隐私特性,没有加密方法可以证明该漏洞是否在补丁之前被利用。这种不确定性导致了市场抛售。
BitMEX 联合创始人 Arthur Hayes 对这种情况发表了评论,表示不可能有任何 ZEC 是非法铸造的,但承认“无法通过正式的加密方式证明这是不可能的”。海耶斯透露,由于该漏洞,他出售了所持有的 ZEC,并宣布他以前的“神圣三位一体”交易——其中还包括 Hyperliquid (HYPE) 和 Near Protocol (NEAR)——“已经死亡”。
Shielded Labs 表示,它“并不过分担心”之前的利用情况,并指出该漏洞非常微妙,而且发现该漏洞需要高超的技术和深思熟虑的努力。该公司正在与 Zcash 开发人员合作进行一项拟议的网络升级,该升级将允许任何人验证 ZEC 总供应的完整性,并证明 Orchard 池中不存在假冒代币。
此事件标志着 Zcash 历史上发现的另一个伪造漏洞。 Electric Coin Company 在 2018 年至 2019 年期间发现并修复了基础 zk-proof 密码学中的类似缺陷,没有报告损失。 Solana 工具公司 Helius 的首席执行官 Mert Mumtaz 指出,由于加密电路的复杂性,大多数零知识隐私协议中都存在这种理论上的风险。