Zcash Orchard 漏洞:可致“无限且不可检测”的假冒 ZEC 风险
与 Orchard 盾池相关的 Zcash Orchard bug 可能让攻击者实现“无限且不可检测”的假冒 ZEC。该漏洞从 2022 年 5 月 Orchard 启动起持续到 6 月 2 日紧急修复完成,披露时间为 6 月 5 日。
安全研究员 Taylor Hornby 于 5 月 29 日在一次 AI 辅助安全审查中发现问题。在本地测试环境里,他成功复现可运行的利用方式,能够铸造假冒 ZEC。漏洞成因被描述为 Orchard 电路中的“约束不足的元件”,使得任意伪造输入可能通过椭圆曲线乘法校验。
对交易者而言,最关键的是可验证性风险:由于 Orchard 交易受到隐私加密保护,Zcash 无法通过加密手段证明修复前是否已存在假币流入。Shielded Labs 表示目前没有“确定”的利用证据,但也承认仅靠密码学无法给出结论。
Shielded Labs 也在推进后续升级方案,包括部署新的盾池,并引入“turnstile accounting”,以把从 Orchard 流出的币种通过可验证检查点“强制过账”。
消息一出市场已出现反应:ZEC 报道称下跌约 43%,盘中低点曾落在 250–300 美元区间,之后出现部分反弹。接下来需关注 Zcash 治理与升级时间表带来的波动,因为市场对供应可靠性的审视可能加剧,隐私币风险溢价也可能重新定价。
看跌
与 Zcash Orchard bug 相关的供应完整性不确定性,对这种密码学验证能力有限的隐私币而言是直接利空。即便目前没有确认利用证据,交易者仍可能重新定价 ZEC 的风险溢价,因为项目无法加密手段给出“修复前是否已被注入假币”的确定结论。报道中约 43% 的即时下跌也说明市场正在将其视为审计与可信度层面的负面信号。
短期内,ZEC 的波动大概率仍会围绕治理进程、升级时间安排以及新盾池与“turnstile accounting”等技术细节进一步升温。长期来看,若升级确实能恢复可验证性、并形成充分的机制与文档支撑,情绪可能逐步稳定;但在明确降低歧义之前,市场对 ZEC 的偏向仍偏负面,尤其是对“隐藏通胀”叙事更敏感的交易者。