6 月 5 日,Zcash 创始人 Zooko Wilcox 发布了一篇罕见的安全复盘长文。
文章披露,安全研究员 Taylor Hornby 于 5 月 29 日发现,Zcash 最新一代隐私池 Orchard 存在一个严重伪造漏洞。攻击者可以构造一笔原本不应该通过验证的交易,在 Orchard 内部生成无限且无法被检测的伪造 ZEC。
这并不是一个停留在理论层面的风险。Taylor 已经在本地测试环境中编写出完整的利用程序,实际生成了伪造 ZEC。如果相同程序被部署到主网,攻击者理论上同样可以在自己的主网钱包中生成无限数量的伪造资产。
消息公开后,ZEC 一度跌超 30%。CoinMarketCap 数据显示,ZEC 在 24 小时内最低跌至 408.39 美元,较同期高点 610.47 美元下跌约三分之一。可惜的是,这是币圈近期为数不多的财富效应极佳的标的,拥有被无数大佬看好的好叙事,现在被这个漏洞彻底打破。
如果只看结果,这似乎又是一场熟悉的加密安全事故:漏洞被发现,开发者紧急修复,市场陷入恐慌。
但 Orchard 事件真正棘手的地方在于,漏洞虽然已经修复,Zcash 社区却无法直接回答另一个更加敏感的问题:
过去四年里,是否已经有人利用过这个漏洞?
四天紧急修复,Orchard 一度暂停运行
Orchard 是 Zcash 于 2022 年启用的新一代隐私支付协议,也是当前 Zcash 主要使用的隐私池之一。用户可以隐藏余额、交易金额与资金流向,同时通过零知识证明向网络证明交易符合规则。
按照 Zooko、Shielded Labs 与 Zcash 社区披露的时间线,Taylor 于 5 月 29 日对 Orchard 电路进行定向安全审查时发现异常,并立即将漏洞私下披露给 Zcash Open Development Lab(ZODL)。其中,Shielded Labs 是一家总部位于瑞士、依靠捐赠运营的独立 Zcash 生态支持组织,长期参与 Zcash 的协议开发、安全性与网络可持续性建设,并不隶属于 Zcash Foundation 或 ZODL。
ZODL 工程师在收到报告后的数小时内确认问题真实存在,并开始寻找修复方案。由于直接公开代码补丁可能暴露漏洞原理,团队首先选择暂时关闭 Orchard:禁止创建新的 Orchard 输出,也禁止支出已经存在于 Orchard 中的资金。
在开发者、矿工、节点运营商、交易所与基础设施服务商协调升级后,紧急软分叉于 6 月 2 日生效。随后,Zcash 又通过硬分叉升级更新 Orchard 电路的验证密钥,并于 6 月 3 日恢复 Orchard 功能。透明地址与 Sapling 隐私池在此期间仍然可以继续运行。
从漏洞披露到完成修复,整个过程只用了数天。以应急响应速度衡量,这已经是一次相当成功的处置。
但市场并没有因为漏洞修复而恢复平静,因为修复解决的是未来,而不是过去。
市场担心的不是攻击仍会发生,而是攻击可能已经发生
普通安全事故通常存在一个相对明确的损失规模。智能合约被盗,链上可以追踪攻击者转走了多少资产;跨链桥出现漏洞,也可以统计资金流向与受影响地址。
Orchard 事件不同。
根据 Shielded Labs 的说明,该漏洞可以被用于在 Orchard 内部生成无限且无法被检测的伪造 ZEC。由于 Orchard 本身具有隐私属性,外界无法仅通过密码学方法,确切证明漏洞修复前是否有人利用过这一攻击路径。
这意味着市场面对的不是一个已经确定的损失数字,而是一种难以量化的不确定性:
如果过去真的有人发现并利用过漏洞,那么 Orchard 内部是否已经存在伪造 ZEC?如果存在,规模究竟是多少?这些资产是否仍然停留在隐私池中?是否曾经通过正常交易逐步流出?
更重要的是,这个风险窗口并不是从 5 月 29 日才开始出现。Shielded Labs 表示,该漏洞自 Orchard 于 2022 年 5 月启用以来便一直存在,直至 2026 年 6 月紧急修复完成。换句话说,问题已经潜伏了接近四年。
市场真正担心的不是 5 月 29 日到 6 月 2 日之间发生了什么,而是过去四年里是否已经发生过无法被直接观察到的异常。
这也是 ZEC 暴跌超过 30% 的核心原因。
市场卖出的不只是一个漏洞,而是对供应量可信度的重新定价。
一个数学约束遗漏,如何演变成“无限增发”风险
看到“无限增发漏洞”几个字,我们的第一反应是黑客掌握了管理员权限,或者获得了某种协议后门。
实际情况更加底层。
Orchard 的安全性依赖一套零知识证明电路(Orchard circuit)。用户可以隐藏交易具体内容,但必须向网络证明自己的交易满足协议规则。其中最重要的一条规则是资产守恒:一笔交易不能凭空创造新的价值。
简单来说,用户可以不公开自己拥有多少 ZEC,也可以不公开把多少 ZEC 转给了谁,但网络必须能够确认:
支出的资产确实来自合法输入。
Taylor 发现的问题出现在 Orchard 电路中的一项椭圆曲线乘法检查。
Shielded Labs 将其描述为一个“under-constrained element”,即约束不完整的电路元素。由于相关数学关系没有被完全约束,攻击者可以向椭圆曲线乘法过程输入任意错误数据,但验证过程仍然可能返回通过。
换句话说,攻击者不需要破解密码学算法,也不需要控制网络节点。
他们只需要构造一组本不应该成立的数据,让系统错误地相信交易依然满足资产守恒。
当这份错误证明被网络接受后,原本不存在的 ZEC 便可以被视为合法资产,继续留存在 Orchard 之中。
这也是为什么 Shielded Labs 使用了极其严厉的措辞:
unlimited, undetectable counterfeit ZEC
真正危险的地方不仅是“无限”,更是“无法检测”。
两种表述之间,存在一个重要区别
Zcash Foundation 在完成升级后的公告中表示,目前没有发现漏洞曾被利用的证据,没有检测到未经授权的价值创造,用户资金与隐私未受影响。公告还强调,Zcash 原有的 Turnstile Accounting 机制能够追踪不同资金池之间的价值流动,并保护 2100 万枚 ZEC 的总供应量上限。
与此同时,Shielded Labs 又明确表示,无法仅依赖密码学证明 Orchard 历史上从未出现过伪造 ZEC。
这两种说法看似矛盾,实际关注的是两个不同层面的问题。
Zcash 原有的 Turnstile Accounting 可以理解为不同资金池之间的“闸门”。系统能够统计一共有多少合法资产进入 Orchard,并限制能够从 Orchard 流出的资产规模。
假设 Orchard 中原本只有 100 万枚合法 ZEC,那么即使攻击者在内部伪造了更多资产,系统也不允许超过合法规模的资产全部流出。这样可以避免整个 Zcash 网络的总供应量上限被轻易突破。
但这个机制并不能直接证明 Orchard 内部从未出现过假币。
如果伪造资产仍然停留在 Orchard 中,或者在合法流出额度以内逐步替换真实资产,原有统计机制未必能够给出一个彻底的历史结论。
关于这个几乎可以说历史最悠久的加密隐私项目,我们能知道的只有,目前没有发现异常增发证据,但社区仍然无法直接证明 Orchard 内部从未存在过伪造资产。
这正是市场最难处理的风险类型。
问题不是已经发现了多少假币,而是没人能够彻底确认假币从未出现过。
Zcash 如何重新证明 Orchard 中没有假币?
漏洞修复只是第一步。
Shielded Labs 已经表示,正在与其他 Zcash 开发者研究一项新的网络升级提案。方案包括部署一个新的隐私池,并对所有从 Orchard 迁移出的资产强制执行 Turnstile Accounting。
这相当于为 Orchard 设置一道新的迁移闸门。
旧 Orchard 中的资产如果希望进入新的隐私池,需要按照可验证规则完成迁移。系统可以重新统计流出的合法资产规模,并判断是否存在无法被正常迁移的额外 ZEC。
如果升级顺利完成,任何人都可以验证 Zcash 的供应量完整性,并进一步证明 Orchard 中不存在伪造资产。
这项方案的意义并不只是修复代码,而是重建市场对 Orchard 的信任。
因为在隐私系统中,信任并不来自“我们认为攻击没有发生”,而应该来自“任何人都可以验证攻击没有发生”。
Shielded Labs 自己也承认,此前被恶意利用的概率较低。漏洞隐藏多年,发现难度极高;Taylor 又是在专门安全研究项目中主动寻找此类问题;漏洞披露后,生态在数天内迅速关闭了攻击窗口。
但 Shielded Labs 同时强调,用户不应该仅仅依赖开发团队的主观判断。
市场需要的是证明。
一个隐藏四年的漏洞,为何在此时被发现?
Orchard 事件还有一个容易被市场忽略的细节。
5 月 28 日,Anthropic 发布 Claude Opus 4.8。
一天之后,Taylor 发现 Orchard 漏洞。
根据 Zooko 与 Shielded Labs 的复盘,Taylor 在 Opus 4.8 发布后不久,将其用于一次高度定向的 Orchard 电路审查,并于 5 月 29 日发现问题。随后,他在 Opus 4.8 的协助下编写出完整利用程序,在本地环境中生成了无限且无法检测的伪造 ZEC。
这一细节值得关注,并不是因为 AI 已经可以独立完成密码学审计。
公开信息并不支持这种夸张结论。
Taylor 本人是经验丰富的安全研究员。Shielded Labs 也提到,他同时使用了传统安全研究方法、定制化 AI 工具框架与专门设计的提示词。Opus 4.8 是审查过程中的重要工具,但并不是唯一因素。
真正值得注意的是,Taylor 使用的并不是 Anthropic 专门面向网络安全场景、受限制开放的 Claude Mythos Preview,而是刚刚公开发布的通用模型 Opus 4.8。
Anthropic 对 Mythos Preview 的定位,是一个具备显著漏洞发现与利用能力的前沿模型。由于潜在滥用风险,Anthropic 没有直接面向公众开放该模型,而是通过 Project Glasswing 向经过筛选的合作方提供访问权限。
相比之下,Opus 4.8 是普通开发者可以接触到的通用模型。Anthropic 在发布说明中强调,它在代码分析、复杂任务执行与识别代码缺陷方面有所提升。
这使 Orchard 事件释放出一个更加值得重视的信号:
发现高价值漏洞的能力,正在从少数专用安全模型向通用模型扩散。
一个公开发布仅一天的通用模型,在专业研究员的引导下,已经能够参与审查复杂的零知识证明电路,并帮助发现一个隐藏接近四年的关键漏洞。
这并不意味着密码学专家不再重要。
恰恰相反,Taylor 的经验、审查目标的选择,以及对模型输出的验证能力,仍然是整个过程的核心。
但专家与 AI 的组合,正在显著降低发现复杂漏洞的成本。
漏洞已经关闭,但市场仍在等待答案
对于 Zcash 来说,最紧迫的攻击窗口已经关闭。
Orchard 功能已经恢复,验证电路已经更新,当前也没有证据显示漏洞曾经遭到恶意利用。
但 ZEC 暴跌超过 30% 说明,市场关心的并不只是代码是否已经修复。
市场仍然在等待一个更加彻底的答案:
过去近四年里,Orchard 内部究竟有没有出现过伪造 ZEC?
如果新的隐私池与 Turnstile Accounting 升级能够顺利落地,社区最终有机会证明供应量完整性,重新建立市场信任。
但在这一证明完成之前,Orchard 事件仍然存在一个无法被轻易回避的悬念:
那些理论上可以被无限创造出来的伪造 ZEC,究竟从未存在过,还是曾经隐藏在无人能够直接看见的地方
