6 月 5 日,Zcash 创始人 Zooko Wilcox 在 X 平台披露,安全研究员 Taylor Hornby 于 5 月 29 日发现了 Zcash Orchard 隐私池中存在一个极其严重的伪造漏洞。该漏洞理论上允许攻击者绕过系统限制,无限量地铸造伪造的 ZEC 代币,且由于隐私池的密码学特性,这种攻击极难被常规手段检测。而且该漏洞从 Orchard 于 2022 年 5 月启用时就一直存在。
Zcash 开放开发实验室(ZODL)获悉后紧急响应,并于 6 月 1 日修复了该漏洞。目前,Zcash 网络已恢复正常运行,官方及链上数据显示,用户资金、隐私数据以及 2100 万枚的总供应量上限未受实质性影响。
尽管 Zooko 强调,在漏洞修复之前(四年多时间)出现伪造行为的可能性不大,但市场似乎却并未消除顾虑。Coingecko 数据显示,消息公布后,ZEC 代币价格暴跌,24 小时跌超 30%。
利用 AI 编写程序审查出漏洞
该漏洞的发现使用了最新的 AI 辅助安全审计技术以及传统的安全研究方法。
5 月 28 日,Anthropic 发布 Opus 4.8 模型后不久,Taylor 便将其用于对 Orchard 电路进行高针对性的审查。Taylor 借助 Opus 4.8 编写了一个完整的漏洞利用程序。他在本地 regtest 环境下测试时,该程序能够生成无限量且无法检测的伪造 ZEC。如果他在 Zcash 主网上运行相同的工具,则会在他的主网 Zcash 钱包中生成无限量且无法检测的伪造 ZEC。
该漏洞与 Orchard 电路中一个约束不足的元件有关。由于该元件的约束不足,攻击者可以向椭圆曲线乘法中输入任意错误值,而乘法检查仍然能够通过。
尤其棘手的是,由于 Orchard 的隐私特性以及漏洞本身的性质,仅凭密码学无法确定此类利用是否发生在漏洞被发现和修复之前。
ZEC 有没有被恶意增发?
用户的资金是否安全?有没有被恶意增发?这或许是市场最关心的问题。Zooko 评估认为,有多个因素能“证明”没有被恶意增发。
首先,该漏洞多年来一直躲过了众多密码学家的审查。其次,这一发现并非偶然,而是团队刻意寻找此类漏洞,攻击者通常“不会”知晓。另外,Taylor 使用了只有白帽安全研究人员才能使用的最新 AI 工具,以及一套复杂的定制 AI 框架和提示系统,并抢在攻击者之前完成任务。漏洞被发现后,ZODL 和 Zcash 生态迅速修复,缩短了可利用的时间窗口。
因而在漏洞被修复之前,很少有人有能力和机会发现并利用这个漏洞。 这一结论也得到部分人士的认同。
Helius CEO mert 认为 ,虽然短期内无法直接证明漏洞是否被利用过,但如果未来触发 turnstile 或迁移到新的可验证隐私池,就可以证明是否存在伪造问题。此外,Zcash 团队最近越来越多地使用先进工具并聘请外部安全公司对自己进行审计,也在一定程度上提高了安全性。Zcash 能发现并立即修复了该漏洞,是持续安全工作的结果,甚至是一个利好消息。
但 BitMEX 联合创始人 Arthur Hayes 则持相反观点,并发文称已清仓 ZEC 持仓。Hayes 表示, 尽管恶意铸币的可能性极低,但无法通过密码学方法正式证明其不可能。保护隐私免受 AI、政府和大型科技公司侵害的说法要求的是完美无缺,而不是概率极低 。他同时表示,若后续假设被证伪,不排除以更低价格重新买入。
拟推出网络升级,“证明”不存在伪造
目前市场对 Zcash Orchard 池漏洞事件的看法不一。但为证明 Zcash 供应完整性,专注于 Zcash 生态的非营利性核心开发组织 Shielded Labs 称正与其他 Zcash 开发者合作,探索一项网络升级方案,旨在允许任何人验证 Zcash 供应的完整性,并“证明” Orchard 池中不存在伪造的 Zcash。该方案涉及部署一个新的受保护池,并对 Orchard 池中的所有代币强制执行“turnstile accounting”机制。该提案将于下周公布细节。
此外,Shielded Labs 称正启动一个项目,旨在正式验证 Orchard 电路,会尝试编写数学证明,“证明”其中不存在任何未发现的漏洞。
Zcash 能否顺利度过此次漏洞危机,尚未可知。但此次危机事件的处理过程,将为加密隐私领域的安全实践提供重要参考。
