Zcash(ZEC),一种注重隐私的加密货币,于 6 月 4 日披露了一项关键漏洞。该漏洞可能使其 Orchard Pool 隐私交易区域内的隐私交易实现无限制的仿冒币创建。安全研究人员 Taylor Hornby 于 5 月 29 日在审计 Orchard Circuit 代码时,使用 Anthropic 的 Opus 4.8 AI 模型发现了该缺陷。该漏洞源于椭圆曲线运算验证流程中的约束条件不足,导致即使输入值不正确,验证也仍可能通过。Zcash 创始人 Zooko Wilcox 通过 X 宣布,紧急补丁已部署到整个生态系统,并援引开发公司 Shielded Labs 的一份报告。该漏洞自 Orchard Pool 于 2022 年 5 月启用以来就已存在,尽管有顶级密码学家进行过审查,但仍未被发现长达四年。
Taylor Hornby 使用 Anthropic Opus 4.8 AI 模型发现漏洞
Taylor Hornby 在 5 月 29 日于检查 Orchard Circuit 时,使用 Anthropic 最新的 Opus 4.8 AI 模型识别出了该漏洞。此次发现发生在对 Zcash 隐私交易基础设施进行例行安全审计期间。Zooko Wilcox 在 6 月 4 日的一则 X 帖子中引用了 Hornby 的发现,该帖包含 Shielded Labs 报告,详细说明了该漏洞的技术性质。
椭圆曲线验证缺陷使得可创建无限 ZEC
根据 Shielded Labs 报告,该漏洞源于 Orchard Circuit 内椭圆曲线运算验证流程中的约束条件不足。该弱点使攻击者能够使用错误的输入值,但仍能通过验证检查。理论上,这将使创建无限数量的仿冒 ZEC 代币成为可能。该漏洞具体影响 Orchard Pool,即 Zcash 的隐私交易区域,用于将交易细节从公开视图中遮蔽。
Shielded Labs 完成紧急补丁部署
Zooko Wilcox 表示,紧急响应举措已纠正该漏洞,并且补丁已完成部署到整个生态系统。该漏洞存在于 2022 年 5 月 Orchard Pool 启用之时,直至 5 月 29 日被发现。Shielded Labs 指出,在这四年期间,无法在加密学层面证明该漏洞是否实际上被利用。报告称,虽然没有任何方法可以确认补丁之前是否发生了仿冒,但鉴于该漏洞曾多年躲过世界级密码学家的检测,并且仅通过前沿基于 AI 的安全研究被发现,因此被先前利用的可能性被认为较低。
Shielded Labs 讨论 Turnstile Accounting 的实现
Shielded Labs 正在讨论引入一个新的隐私池,并将 Turnstile Accounting 应用于现有 Orchard Pool 资产。该公司表示,这种做法将使任何人都能验证 Zcash 总供应量的完整性,并确认 Orchard Pool 内是否存在仿冒币。
ZEC 价格在披露后下跌 17.04% 至 447 美元
截至 6 月 5 日,据 CoinGecko 数据,ZEC 交易价格为 447 美元(约 687,200 韩元)。这代表在漏洞披露后的 24 小时内下跌了 17.04%。
FAQ
研究人员是如何发现 Zcash 漏洞的?
Taylor Hornby 在 5 月 29 日使用 Anthropic 的 Opus 4.8 AI 模型审计 Orchard Circuit 代码时发现了该漏洞。借助 AI 的分析发现,椭圆曲线运算验证流程中的约束条件不足,这一问题已逃过顶级密码学家检测长达四年。
任何人都能确认漏洞在补丁之前是否被利用吗?
Shielded Labs 表示,在从 2022 年 5 月到 5 月 29 日这四年期间,无法在加密学层面证明该漏洞是否实际上被利用。报告指出,虽然不存在验证方法,但鉴于该漏洞的复杂性以及发现它所需的先进 AI 工具,因此先前被利用的可能性被认为较低。
Zcash 正在实施哪些措施以防止未来仿冒?
Shielded Labs 正在讨论引入一个新的隐私池,并将 Turnstile Accounting 应用于现有 Orchard Pool 资产。该公司表示,这种做法将使任何人都能验证 Zcash 总供应量的完整性,并确认 Orchard Pool 内是否存在仿冒币。
