一句話:Zcash 的隱私池曾經有一個「可無限鑄幣」漏洞
根據 Zooko Wilcox、Jason McGee 與 Taylor Hornby 的說明,這個漏洞存在於 Orchard pool 的電路約束中。白帽研究者已在本地測試環境寫出完整 exploit,能產生無限、不可偵測的偽造 ZEC。
漏洞是真的,而且可利用
它不是理論風險。Taylor 在 regtest 環境測試過 exploit;若對 mainnet 執行,會在錢包裡生成無限、不可偵測的 ZEC。
窗口已快速關閉
5 月 29 日揭露給 ZODL 後,Zcash 生態系在數天內完成緊急修補,6 月 1 日部署修復。
最大問題是不可證明
因為 Orchard 的隱私屬性與漏洞性質,光靠密碼學無法明確證明它在修補前是否曾被利用。
這次事件的核心不是「Zcash 有 bug」而已,而是隱私系統一旦出現供給漏洞,事後要重新建立信任會比一般公鏈困難得多。
Privacy protects users, but it also removes some forensic visibility.四天內修掉漏洞,但四年歷史無法直接倒帶驗證
Orchard 從 2022 年 5 月啟用到 2026 年 6 月修補,中間有一段漫長的「曾經存在漏洞」期間。這不是說一定有人利用,而是說不能只靠鏈上資料給出絕對證明。
技術問題:Orchard circuit 有一個 under-constrained element
簡化來說,某個本該被嚴格約束的電路元素沒有被約束完整,導致攻擊者可以把任意假的輸入塞進橢圓曲線乘法,卻仍然通過乘法檢查。
這也是為什麼它特別嚴重:不是偷某個人的幣,而是破壞整個供給完整性。對任何貨幣系統來說,「可被無限增發且外界看不出來」都是最壞等級的漏洞。
已知與未知,必須分開看
這份聲明最重要的誠實之處,是沒有把「我們覺得不太可能被利用」包裝成「我們可以證明沒有被利用」。
我們知道的事
漏洞真實存在、可被 exploit;它存在於 Orchard 啟用後的多年期間;修補已在 2026 年 6 月初部署;白帽研究者有能力在本地生成偽造 ZEC。
我們不知道的事
在修補前,是否曾有其他人獨立發現並利用它。由於 Orchard 的隱私屬性,沒有辦法只靠密碼學直接證明「完全沒有」。
Shielded Labs 為什麼認為先前被利用的機率不高?
他們的判斷不是「不可能」,而是「不太可能」。理由包括:漏洞躲過多年頂尖密碼學家審查、這次發現是刻意白帽研究的成果、且修補速度壓縮了攻擊窗口。
多年審查都沒抓到
這代表漏洞不容易被一般攻擊者偶然發現。
AI 輔助白帽搶跑
Taylor 使用最新 AI 模型與自製稽核工具,目標就是先於攻擊者找到這類漏洞。
揭露後快速修補
一旦漏洞被發現,ZODL 與生態系迅速完成緊急回應,縮短可利用時間。
這件事該怎麼理解?
目前最合理的態度是:先前利用看起來不太可能,但使用者不應只靠任何人的主觀評估。
解法方向:新 shielded pool,加上 turnstile accounting
Shielded Labs 正與其他 Zcash 開發者探索一個網路升級:部署新的隱私池,並要求所有從 Orchard pool 轉出的幣都通過 turnstile accounting,藉此證明 Orchard 內不存在偽造供給。
這種做法不會只是技術 patch,而是重大 network upgrade,需要 Zcash 使用者支持,也必須走標準治理流程。Shielded Labs 表示會在下一篇文章更詳細解釋設計與取捨。
這次事件也暴露出新型安全競賽:白帽 AI vs. 攻擊者 AI
Taylor 使用 Opus 4.8 輔助找到漏洞,這讓事件多了一層產業意義:AI 不只是會寫程式,也正在改變高階密碼學審計與漏洞發現速度。
加速主動安全研究
Shielded Labs 表示會繼續使用 state-of-the-art AI tools,搶在壞人之前找問題。
形式化驗證 Orchard circuit
他們將啟動 formally verify Orchard circuit 的專案,嘗試用數學證明沒有更多未發現錯誤。
補強安全團隊
Shielded Labs 正尋找 Head of Security 與 Cryptographer,擴大安全能力。
這是一場隱私幣危機,也是一場白帽 AI 稽核的示範:未來安全問題不只是誰的密碼學更好,還包括誰能更快把 AI 變成審計武器。