周四,在公开披露一个严重的伪造漏洞后,注重隐私的加密货币 Zcash (ZEC) 的价格暴跌超过 30%。该漏洞位于 Zcash 的 Orchard 屏蔽池内,理论上可以让攻击者铸造无限量的 ZEC。
根据详细披露,安全工程师 Taylor Hornby 于 5 月 29 日在对 Orchard 加密电路进行有针对性的审查时发现了该漏洞。 Hornby 受聘于 Shielded Labs,这是一家支持 Zcash 生态系统的公司。该漏洞自 2022 年 5 月以来一直存在,并立即报告给 Zcash 开放开发实验室(ZODL)。我们启动了紧急响应,最终通过硬分叉来修复该问题,并于 6 月 3 日激活。
该错误允许对关键椭圆曲线乘法检查进行错误输入,从而有效地绕过了交易的加密验证。 Hornby 通过构建和测试生成伪造 ZEC 的有效漏洞来确认严重性。安全研究人员表示:“如果他在 Zcash 主网上运行相同的工具,就会生成无限的、无法检测的伪造 ZEC。”
主要市场担忧源于 Orchard 矿池固有的隐私特性:没有加密方法可以证明漏洞是否在补丁之前被利用。这种不确定性引发了抛售,导致 ZEC 的价格跌至约 410 美元,并在 24 小时内蒸发了超过 30 亿美元的市值。
值得注意的是,Hornby 使用了 Claude Opus 4.8(一种在发现前一天发布的先进人工智能模型)来协助审计。尽管该漏洞的性质令人担忧,但 Shielded Labs 表示,它“并不过分担心”之前的利用情况,并指出该漏洞的微妙性以及发现该漏洞所需的高技能、有针对性的努力。
作为回应,该公司正在与 Zcash 开发人员合作拟议的网络升级。此次升级旨在允许公众验证 ZEC 供应的完整性,并提供 Orchard 池中不存在假冒代币的证据。
BitMEX 联合创始人 Arthur Hayes 对这种情况发表了评论,表示不可能有任何 ZEC 是非法铸造的,尽管他承认“无法通过正式的加密方式证明这是不可能的”。海耶斯透露,他在消息传出后出售了所持有的 ZEC,并宣称“神圣三位一体已死”,指的是 Zcash 和他剥离的其他两种代币。
这一事件标志着 Zcash 的又一次假冒恐慌。 Electric Coin Company 在 2018 年至 2019 年发现了其底层 zk-proof 密码学中的类似漏洞并进行了修复,未造成任何损失。 Solana 工具公司 Helius 首席执行官 Mert Mumtaz 指出,此类理论风险在零知识隐私协议中反复出现,并表示:“随着新人了解隐私池的工作原理,同样的 FUD 每五个月就会出现一次。”