Claude Code 揪出 Zcash Orchard 漏洞
Shielded Labs 的安全研究员 Taylor Hornby 使用 Claude Code(Claude Opus 4.8)发现了 Zcash 协议在 Orchard 隐蔽池中的严重漏洞。
2026 年 5 月 29 日——Anthropic 发布 Opus 4.8 的前一天——AI 辅助审计代理在 Orchard 电路的可证性/零知识约束相关环节中发现了弱点。该问题可能允许恶意证明者多次花费同一张隐蔽票据,并通过生成不同的 nullifiers 来规避检测,从而在 Orchard 内实现无法被轻易识别的 ZEC 账面膨胀(缺乏明显链上指纹)。
Zcash 表示,该漏洞自 2022 年 5 月 Orchard 上线后就已存在,暴露期约四年,随后在 Hornby 发现后不久被修补。事件因严重性引发了全生态的紧急响应。市场反应剧烈:ZEC 约下跌 60%,市值蒸发超过 40 亿美元。
Hornby 在 Zcash 的本地 regtest 环境中验证了利用方式。该环境的校验规则与主网一致。测试中,Orchard 票据的价值可被反复加倍,直到钱包余额超过 1000 万 ZEC。研究员称,借助 Claude Code 形成完整 PoC 大约耗时 6 小时,且模型只需少量额外提示。
报告强调:AI 并未“自动入侵” Zcash;相关工具是为针对 halo2/Orchard 电路定制的。但该案例也显示,前沿 AI 能显著缩短发现复杂密码学漏洞所需的时间。
对交易者的关键信息:即便最终已修补,只要隐私/保密型结构出现可信技术风险,市场信心仍可能在短时间内被迅速重估,从而直接影响 ZEC 的价格与流动性。
中性
该消息在发布时偏利空:据称 ZEC 短时间内暴跌约 60%,市值蒸发超过 40 亿美元,因为它触及隐蔽池的“最坏情况”——可能实现无法被检测的资产膨胀。
但由于在研究者披露后不久就完成了修补,且验证是在与主网相同校验规则的 regtest 上进行,意味着未来持续可被利用的概率下降,这通常会在市场确认修复后限制更长时间的下跌。
短期交易上,预期会出现“信任—波动”联动:交易者往往会立刻降风险、扩大点差,并要求看到修复的可验证证据。类似往年多次“关键漏洞 + 紧急补丁”的事件,价格往往先因恐慌跳空下行,但在修复确认后逐步企稳。
长期看,如果社区验证补丁有效且之后未再出现 Orchard/halo2 相关新问题,情绪可能回归正常。不过漏洞存在约四年的时间窗口(自 2022 年 5 月起)会作为感知层面的风险残留,使 ZEC 的估值对后续审计与安全发现仍保持敏感。