当前位置:主页 > 区块链 > 资讯 > Zcash Orchard漏洞事件回应

Zcash Orchard漏洞四问:曾被利用?资金可追?供应量可验?还有别的漏洞吗?

2026-06-15 16:23:42 | 来源: | 作者:佚名
Zcash 创始人回应 Orchard 漏洞事件,认为漏洞此前未被利用的可能性较大,合法资金可追回,但用户目前无法独立验证 ZEC 供应量是否超标;拟议的 Ironwood 升级将封存 Orchard 池,恢复这一验证能力

北京时间 6 月 5 日,隐私项目 Zcash 被爆新一代隐私池 Orchard 曾存在关键伪造漏洞,Zcash 代币 ZEC 一度腰斩最低跌至 250 美元附近。经过 10 来天的发酵,市场恐慌情绪有所消解,ZEC 价格也有所回暖,并于今日重回 500 美元。

今天上午,Zcash 创始人 Zooko Wilcox 再次发布长文,回应市场关切议题。他表示,Orchard 漏洞此前未被利用的可能性较大,合法 Orchard 资金可追回;目前用户尚无法自行验证 Zcash 供应量是否超标,但 Ironwood 升级将封存 Orchard 池,恢复这一验证能力;持续审查中未发现其他伪造漏洞,但完全确定仍需更多工作。

以下为 Zooko Wilcox 原文

近期的 Orchard 漏洞引发了关于 Zcash 供应量与用户资金安全的重要问题。讨论中混杂了多个不同的议题,让人难以理解该漏洞对用户的实际影响。本文试图将这些问题分开,并逐一解释它们对用户的意义。

Orchard 漏洞引出了四个重要问题:

  • Orchard 漏洞是否曾被利用过?
  • 合法的 Orchard 资金能否被追回?
  • 用户能否验证 Zcash 的供应量未被增发?
  • 我们如何知道不存在其他的伪造漏洞?

Orchard 漏洞是否曾被利用过

未知。我们认为此前被利用的可能性不大,尽管无法完全排除。我们认为漏洞很可能未被利用,原因有三:

尽管多年来全球许多顶尖的密码学家和安全研究人员持续审查,该漏洞此前并未被发现。其最终发现并非偶然;它是由 Shielded Labs 的 Taylor Hornby 发现的,其目的是在恶意攻击者得手前,主动识别此类安全漏洞。Taylor 使用了先进的 AI 辅助安全研究技术和专门构建的自定义工具,这些工具专为找出他人遗漏的细微缺陷而设计,对于不深谙 Zcash 代码库的人来说,做到这一点会更加困难。

漏洞一经发现,Zcash 开发人员(由 Zcash Open Development Labs 团队牵头)迅速与矿池协调,暂时冻结了 Orchard 池并部署了修复程序,从而限制了任何攻击的机会窗口。

加密货币漏洞利用很常见,攻击者通常会尽可能快地变现,尤其是在漏洞被公开之后。攻击者要从该漏洞中获利,需要将伪造的 ZEC 兑换成有价值的资产,这通常会导致 ZEC 通过转门机制(turnstile)流出 Orchard 池。如果该漏洞在修复前已被利用,我们预计到现在应有证据浮现。历史上,加密货币的漏洞利用通常都是“抢夺式”操作,而非像“4D国际象棋”那样隐藏数月甚至数年的策略。

合法的 Orchard 资金能否被追回

我们认为可以,因为我们认为该漏洞从未被利用过。若此判断正确,所有合法的 Orchard 资金仍然可以完全追回。

Zcash Orchard漏洞事件回应

另一方面,如果 Orchard 中确实发生了伪造,现有的转门机制会将总迁移量限制在合法进入该池的 ZEC 数额之内。因此,如果伪造资金先于合法资金被迁移,用户将无法追回部分或全部合法的 Orchard 资金。

Zcash Orchard漏洞事件回应

我们认为这种情形不太可能发生。不过,对更加谨慎的用户来说,仍建议将其ZEC从Orchard中转移出去。但在进行此操作前,他们应了解以下几点:

  • 将资金转移至透明池(即转到 t 地址)会同时暴露转账金额和转账时间,这些资金也会公开关联到该 t 地址。
  • 将资金从 Orchard 池转移至 Sapling 池会暴露转账金额和转账时间,但与转到 t 地址不同,它不会将这些资金关联到特定地址或交易历史。
  • Sapling 池依赖于 2018 年进行的可信设置仪式。依赖该可信设置的安全性,是用户应注意的额外风险。
  • 据我们所知,YWallet 和 Zkool 是目前仅有的被广泛使用且支持 Sapling 池的自托管 Zcash 钱包。
  • 将资金转移到新钱包或托管服务会引入额外风险,包括用户失误、软件缺陷、托管方风险或其他不可预见的问题。

总的来说,我们认为上述风险程度适中。如果你的资金当前存放在一个屏蔽自托管钱包中,鉴于我们评估认为先前的伪造不太可能发生,将它们留在那里是一个合理的选择。如果你有安全的方式,将资金转移到别处也可能是合理的。用户可根据自身情况得出不同结论。

用户能否验证 Zcash 的供应量未被增发

目前还不能。该漏洞之前的存在,使得用户无法独立验证当前屏蔽池中流通的 ZEC 是否不超过正确数额。

Zcash Orchard漏洞事件回应

然而,正如我们在之前的文中所指出的,Ironwood 升级恢复了这一能力。下图说明了原因。

Zcash Orchard漏洞事件回应

拟议的网络升级,通过增加“不存在更多未知伪造漏洞”的保证,并封存 Orchard 池,解决了这一问题。新资金无法再进入,池内资金也无法再流通。唯一剩下的路径是通过现有的转门机制离开,该机制确保从 Orchard 池转出的 ZEC 不会超过合法进入的数量。

这一变化恢复了验证 Zcash 供应量健全性的能力。

当前,如果 Orchard 池中存在伪造资金,它们可以在池内继续流通。升级之后,这就不再可能了。无论伪造是否发生过,任何运行节点的人都可以验证,流通中的 ZEC 不会超过正确数额。

用户无需等待资金从 Orchard 迁出,也无需推断攻击者或其他用户可能的行为。协议本身提供了可验证的保证:多余的 ZEC 无法继续在 Orchard 内流通并推高供应量。

这很重要,因为 Zcash 的长期可信度取决于用户能否自行验证其供应量的健全性。Ironwood 恢复了用户独立验证协议供应限制是否得到执行的能力。

我们如何知道不存在其他的伪造漏洞

我们目前还不能完全确定,但我们有理由认为不存在其他漏洞。Shielded Labs 和其他多个团队一直在仔细审查 Zcash 协议中是否存在其他伪造漏洞。这包括在 Anthropic 的帮助下,于 Mythos 被暂停前不久,使用尚未发布的 Mythos AI 模型来搜索额外的漏洞。我们计划在后续博文中分享关于此次审查及其发现的更多细节。

到目前为止,尚未发现其他伪造漏洞。此次搜索所涉及的高水平专业知识、付出的努力以及先进的 AI 辅助分析,让我们更有信心认为没有类似的漏洞仍未被发现。

此外,我们正与 Tachyon Project 等项目合作,为 Zcash 中不存在更多伪造漏洞提供额外保证。我们也将在未来的博文中进一步说明。

结论

Orchard 漏洞呈现出四个重要问题:漏洞是否曾被利用,合法的 Orchard 资金能否被追回,用户能否验证 Zcash 的供应量未被增发,以及是否还存在其他未被发现的伪造漏洞。

我们认为此前被利用的可能性不大,因此合法的 Orchard 资金可以追回,当前的 Zcash 供应量也是安全的。基于多个独立研究人员和团队的持续审查,我们也越来越相信不存在其他未被发现的伪造漏洞。然而,用户目前还无法验证 Zcash 供应量的安全性,而且他们本不应依赖我们的评估——或任何其他人的评估。

拟议的网络升级解决了这个问题。通过封存 Orchard 池,它恢复了用户独立验证 Zcash 供应量安全性的能力。用户不再需要判断是否发生过伪造,即可验证协议的供应限制是否得到遵守。

到此这篇关于Zcash Orchard漏洞四问:曾被利用?资金可追?供应量可验?还有别的吗?的文章就介绍到这了,更多相关Zcash Orchard漏洞事件回应内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:Zcash   漏洞  

你可能感兴趣的文章

币圈快讯

  • 特朗普称将允许伊朗进行低水平铀浓缩

    2026-06-15 18:01
    6月15日讯,美国总统特朗普14日对《纽约时报》说,伊朗将被允许进行有限的低水平铀浓缩活动,并称美伊新协议将确保“伊朗的铀浓缩永远只能用于非军事目的”。伊朗媒体说,此次表态意味着特朗普在伊朗“铀浓缩归零”要求上让步。(新华社)

  • 市场未完全消除美联储加息预期美元跌势受限

    2026-06-15 17:54
    裕信投资研究所策略师表示,在美国和伊朗达成临时和平协议后,市场降低了但并未完全消除美联储加息的预期,美元跌势因此受到限制。伦敦证券交易所集团数据显示,市场认为12月加息25个基点的可能性为68%,并且完全反映了到明年3月采取行动的预期。策略师表示,加息仍有可能,这将使美元的跌势与其他资产(主要是油价)相比不那么剧烈。

  • 某巨鲸开多约850万美元SPCX

    2026-06-15 17:51
    6月15日,据OnchainLens监测,某新建地址向Hyperliquid存入170万枚USDC,并以10倍杠杆开设49,687股SPCX多头仓位,价值约850万美元,目前仓位仍在增加。

  • Upbit将在BTC、USDT市场上线OPG代币

    2026-06-15 17:32
    6月15日,据官方公告,韩国加密交易所Upbit将在BTC、USDT市场上线OPG代币,交易将于当地时间6月15日20:30开始。

  • 谷歌CEO皮查伊斯坦福毕业演讲避谈AI鼓励毕业生“选择乐观”

    2026-06-15 17:30
    6月15日,据IT之家,谷歌是引领人工智能变革的企业之一。然而,谷歌首席执行官桑达尔・皮查伊当地时间周日在斯坦福大学毕业典礼上发表演讲时,对此只字未提,而他这么做也情有可原。皮查伊转而鼓励毕业生们“选择乐观”。这番话也委婉回应了年轻人普遍的焦虑,他们担忧人工智能会冲击入门级岗位。他还分享了自己保持积极心态的经历。就在上个月,谷歌前首席执行官埃里克・施密特在亚利桑那大学的毕业典礼上畅谈人工智能的发展前景时,遭到学生们此起彼伏的嘘声。乡村音乐大厂BigMachineRecords公司首席执行官斯科特・博尔切塔在中田纳西州立大学谈及人工智能时,同样被学生喝倒彩。
    • 查看更多

最新资讯

更多
更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 65589.65¥ 443458.18
    +1.5%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 1718.45¥ 11618.61
    +2.39%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 0.9993¥ 6.7563
    -0.02%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 614.17¥ 4152.46
    +0.33%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1.0003¥ 6.7631
    +0.01%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.1854¥ 8.0146
    +3.24%
  • solana SOL Solana

    SOL

    Solana

    $ 71.1739¥ 481.21
    +3.96%
  • tron TRX 波场

    TRX

    波场

    $ 0.3202¥ 2.1649
    +0.85%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 66.5219¥ 449.76
    +9.6%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.088653¥ 0.5993
    +1.26%

区块链百科