Zcash(ZEC)這款注重隱私的加密貨幣在 6 月 4 日披露一項關鍵漏洞,該漏洞本可能讓其 Orchard Pool 隱私交易區允許無限的仿冒幣創造。安全研究員 Taylor Hornby 於 5 月 29 日使用 Anthropic 的 Opus 4.8 AI 模型審查 Orchard Circuit 程式碼時發現了這個問題。該漏洞源於橢圓曲線運算驗證流程中約束條件不足,導致即使輸入值不正確,驗證仍可能通過。Zcash 創辦人 Zooko Wilcox 透過 X 表示,已在整個生態系部署緊急修補程式,並引用開發公司 Shielded Labs 的報告。該缺陷自 2022 年 5 月的 Orchard Pool activation 起就已存在,儘管有頂尖加密學者進行審查,仍長達四年未被察覺。
Taylor Hornby 使用 Anthropic Opus 4.8 AI 模型發現漏洞
Taylor Hornby 於 5 月 29 日在檢查 Orchard Circuit 時,使用 Anthropic 最新的 Opus 4.8 AI 模型找到了該漏洞。此次發現發生在對 Zcash 隱私交易基礎設施的例行安全審計期間。Zooko Wilcox 在 6 月 4 日的 X 貼文中引用 Hornby 的發現,該貼文包含 Shielded Labs 報告,詳述該漏洞的技術性質。
橢圓曲線驗證缺陷使無限 ZEC 生成成為可能
根據 Shielded Labs 報告,該漏洞起因於 Orchard Circuit 內橢圓曲線運算驗證流程中的約束條件不足。此弱點允許攻擊者使用不正確的輸入值,卻仍可通過驗證檢查;理論上,可能因此產生無限的仿冒 ZEC 代幣。該缺陷特別影響 Orchard Pool,這是 Zcash 的隱私交易區,旨在將交易細節從公眾視野中遮蔽。
Shielded Labs 完成緊急修補程式部署
Zooko Wilcox 表示,緊急應變措施已修正該漏洞,且修補程式已完成部署到整個生態系。該漏洞自 2022 年 5 月的 Orchard Pool activation 起存在,直到 5 月 29 日被發現。Shielded Labs 指出,從這段四年期間內是否真的遭到利用,從加密學角度證明是不可能的。報告稱,雖然沒有任何方法能確認修補前是否發生仿冒,但考量到該漏洞多年來都躲過了世界級加密學者的偵測,且僅透過前沿的基於 AI 的安全研究才得以發現,因此先前遭到利用的可能性被視為低。
Shielded Labs 討論 Turnstile Accounting 的實作
Shielded Labs 正在討論導入一個新的隱私池,並將 Turnstile Accounting 應用到現有 Orchard Pool 資產。該公司表示,此做法將使任何人都能驗證 Zcash 總供給的完整性,並確認 Orchard Pool 中是否存在仿冒幣。
ZEC 價格在披露後下跌 17.04%,至 447 美元
截至 6 月 5 日,依 CoinGecko 資料顯示,ZEC 交易價格為 447 美元(約 687,200 韓元)。這代表在漏洞披露後 24 小時內下跌了 17.04%。
常見問題
研究人員如何發現 Zcash 漏洞?
Taylor Hornby 於 5 月 29 日使用 Anthropic 的 Opus 4.8 AI 模型,於審查 Orchard Circuit 程式碼時發現了該漏洞。AI 輔助分析指出,橢圓曲線運算驗證流程中的約束條件不足,該問題躲過了頂尖加密學者長達四年之久。
有人能確認修補程式更新前漏洞是否已被利用嗎?
Shielded Labs 表示,從 2022 年 5 月到 5 月 29 日這四年間,能否從加密角度證明該漏洞確實被利用,是不可能的。報告指出,雖然不存在任何驗證方法,但由於該漏洞的複雜性以及發現它所需的先進 AI 工具,其先前遭到利用的可能性被視為低。
Zcash 將採取哪些措施以防止未來仿冒?
Shielded Labs 正在討論導入一個新的隱私池,並將 Turnstile Accounting 應用到現有 Orchard Pool 資產。該公司表示,此做法將使任何人都能驗證 Zcash 總供給的完整性,並確認 Orchard Pool 中是否存在仿冒幣。
