编者按:北京时间 6 月 5 日,隐私项目 Zcash 被爆新一代隐私池 Orchard 曾存在关键伪造漏洞,Zcash 代币 ZEC 一度腰斩最低跌至 250 美元附近。

经过 10 来天的发酵,市场恐慌情绪有所消解,ZEC 价格也有所回暖,并于今日重回 500 美元。(推荐阅读《「无限印钞」漏洞潜伏四年,隐私币 ZEC 一日腰斩》)

今天上午,Zcash 创始人 Zooko Wilcox 再次发布长文,回应市场关切议题。

他表示,Orchard 漏洞此前未被利用的可能性较大,合法 Orchard 资金可追回;目前用户尚无法自行验证 Zcash 供应量是否超标,但 Ironwood 升级将封存 Orchard 池,恢复这一验证能力;持续审查中未发现其他伪造漏洞,但完全确定仍需更多工作。

近期的 Orchard 漏洞引发了关于 Zcash 供应量与用户资金安全的重要问题。讨论中混杂了多个不同的议题,让人难以理解该漏洞对用户的实际影响。本文试图将这些问题分开,并逐一解释它们对用户的意义。

Orchard 漏洞引出了四个重要问题:

1. Orchard 漏洞是否曾被利用过?

2. 合法的 Orchard 资金能否被追回?

3. 用户能否验证 Zcash 的供应量未被增发?

4. 我们如何知道不存在其他的伪造漏洞?

Orchard 漏洞是否曾被利用过?

未知。我们认为此前被利用的可能性不大,尽管无法完全排除。我们认为漏洞很可能未被利用,原因有三:

尽管多年来全球许多顶尖的密码学家和安全研究人员持续审查,该漏洞此前并未被发现。其最终发现并非偶然;它是由 Shielded Labs 的 Taylor Hornby 发现的,其目的是在恶意攻击者得手前,主动识别此类安全漏洞。

Taylor 使用了先进的 AI 辅助安全研究技术和专门构建的自定义工具,这些工具专为找出他人遗漏的细微缺陷而设计,对于不深谙 Zcash 代码库的人来说,做到这一点会更加困难。

漏洞一经发现,Zcash 开发人员(由 Zcash Open Development Labs 团队牵头)迅速与矿池协调,暂时冻结了 Orchard 池并部署了修复程序,从而限制了任何攻击的机会窗口。

加密货币漏洞利用很常见,攻击者通常会尽可能快地变现,尤其是在漏洞被公开之后。攻击者要从该漏洞中获利,需要将伪造的 ZEC 兑换成有价值的资产,这通常会导致 ZEC 通过转门机制(turnstile)流出 Orchard 池。

如果该漏洞在修复前已被利用,我们预计到现在应有证据浮现。历史上,加密货币的漏洞利用通常都是「抢夺式」操作,而非像「4D 国际象棋」那样隐藏数月甚至数年的策略。

合法的 Orchard 资金能否被追回?

我们认为可以,因为我们认为该漏洞从未被利用过。若此判断正确,所有合法的 Orchard 资金仍然可以完全追回。

另一方面,如果 Orchard 中确实发生了伪造,现有的转门机制会将总迁移量限制在合法进入该池的 ZEC 数额之内。

因此,如果伪造资金先于合法资金被迁移,用户将无法追回部分或全部合法的 Orchard 资金。

我们认为这种情形不太可能发生。不过,对更加谨慎的用户来说,仍建议将其 ZEC 从 Orchard 中转移出去。

但在进行此操作前,他们应了解以下几点:

· 将资金转移至透明池(即转到 t 地址)会同时暴露转账金额和转账时间,这些资金也会公开关联到该 t 地址。

· 将资金从 Orchard 池转移至 Sapling 池会暴露转账金额和转账时间,但与转到 t 地址不同,它不会将这些资金关联到特定地址或交易历史。

· Sapling 池依赖于 2018 年进行的可信设置仪式。依赖该可信设置的安全性,是用户应注意的额外风险。

· 据我们所知,YWallet 和 Zkool 是目前仅有的被广泛使用且支持 Sapling 池的自托管 Zcash 钱包。

· 将资金转移到新钱包或托管服务会引入额外风险,包括用户失误、软件缺陷、托管方风险或其他不可预见的问题。

总的来说,我们认为上述风险程度适中。

如果你的资金当前存放在一个屏蔽自托管钱包中,鉴于我们评估认为先前的伪造不太可能发生,将它们留在那里是一个合理的选择。如果你有安全的方式,将资金转移到别处也可能是合理的。用户可根据自身情况得出不同结论。

用户能否验证 Zcash 的供应量未被增发?

目前还不能。该漏洞之前的存在,使得用户无法独立验证当前屏蔽池中流通的 ZEC 是否不超过正确数额。

然而,正如我们在之前的文中所指出的,Ironwood 升级恢复了这一能力。下图说明了原因。

拟议的网络升级,通过增加「不存在更多未知伪造漏洞」的保证,并封存 Orchard 池,解决了这一问题。新资金无法再进入,池内资金也无法再流通。

唯一剩下的路径是通过现有的转门机制离开,该机制确保从 Orchard 池转出的 ZEC 不会超过合法进入的数量。

这一变化恢复了验证 Zcash 供应量健全性的能力。

当前,如果 Orchard 池中存在伪造资金,它们可以在池内继续流通。升级之后,这就不再可能了。无论伪造是否发生过,任何运行节点的人都可以验证,流通中的 ZEC 不会超过正确数额。

用户无需等待资金从 Orchard 迁出,也无需推断攻击者或其他用户可能的行为。协议本身提供了可验证的保证:多余的 ZEC 无法继续在 Orchard 内流通并推高供应量。

这很重要,因为 Zcash 的长期可信度取决于用户能否自行验证其供应量的健全性。Ironwood 恢复了用户独立验证协议供应限制是否得到执行的能力。

我们如何知道不存在其他的伪造漏洞?

我们目前还不能完全确定,但我们有理由认为不存在其他漏洞。Shielded Labs 和其他多个团队一直在仔细审查 Zcash 协议中是否存在其他伪造漏洞。

这包括在 Anthropic 的帮助下,于 Mythos 被暂停前不久,使用尚未发布的 Mythos AI 模型来搜索额外的漏洞。我们计划在后续博文中分享关于此次审查及其发现的更多细节。

到目前为止,尚未发现其他伪造漏洞。此次搜索所涉及的高水平专业知识、付出的努力以及先进的 AI 辅助分析,让我们更有信心认为没有类似的漏洞仍未被发现。

此外,我们正与 Tachyon Project 等项目合作,为 Zcash 中不存在更多伪造漏洞提供额外保证。我们也将在未来的博文中进一步说明。

结论

Orchard 漏洞呈现出四个重要问题:漏洞是否曾被利用,合法的 Orchard 资金能否被追回,用户能否验证 Zcash 的供应量未被增发,以及是否还存在其他未被发现的伪造漏洞。

我们认为此前被利用的可能性不大,因此合法的 Orchard 资金可以追回,当前的 Zcash 供应量也是安全的。基于多个独立研究人员和团队的持续审查,我们也越来越相信不存在其他未被发现的伪造漏洞。

然而,用户目前还无法验证 Zcash 供应量的安全性,而且他们本不应依赖我们的评估——或任何其他人的评估。

拟议的网络升级解决了这个问题。通过封存 Orchard 池,它恢复了用户独立验证 Zcash 供应量安全性的能力。用户不再需要判断是否发生过伪造,即可验证协议的供应限制是否得到遵守。