ZCASH · ORCHARD · COUNTERFEITING VULNERABILITY

Zcash 最棘手的漏洞,
不是已經修好,
而是無法證明過去沒發生

2026 年 5 月底,Taylor Hornby 在 Zcash 的 Orchard 隱私池找到一個可無限製造、且不可偵測偽幣的嚴重漏洞。修補速度很快;但隱私系統真正困難的地方在於:修好漏洞,不等於能證明漏洞從未被利用。

May 29 discoveredJune 1 emergency fixUnlimited undetectable counterfeit ZECNetwork upgrade proposed
向下滑
01 · THE SHORT VERSION

一句話:Zcash 的隱私池曾經有一個「可無限鑄幣」漏洞

根據 Zooko Wilcox、Jason McGee 與 Taylor Hornby 的說明,這個漏洞存在於 Orchard pool 的電路約束中。白帽研究者已在本地測試環境寫出完整 exploit,能產生無限、不可偵測的偽造 ZEC。

🧨

漏洞是真的,而且可利用

它不是理論風險。Taylor 在 regtest 環境測試過 exploit;若對 mainnet 執行,會在錢包裡生成無限、不可偵測的 ZEC。

🛠️

窗口已快速關閉

5 月 29 日揭露給 ZODL 後,Zcash 生態系在數天內完成緊急修補,6 月 1 日部署修復。

🕳️

最大問題是不可證明

因為 Orchard 的隱私屬性與漏洞性質,光靠密碼學無法明確證明它在修補前是否曾被利用。

這次事件的核心不是「Zcash 有 bug」而已,而是隱私系統一旦出現供給漏洞,事後要重新建立信任會比一般公鏈困難得多。

Privacy protects users, but it also removes some forensic visibility.
02 · TIMELINE

四天內修掉漏洞,但四年歷史無法直接倒帶驗證

Orchard 從 2022 年 5 月啟用到 2026 年 6 月修補,中間有一段漫長的「曾經存在漏洞」期間。這不是說一定有人利用,而是說不能只靠鏈上資料給出絕對證明。

1
2022.05Orchard pool 啟用漏洞從 Orchard activation 起存在,直到 2026 年緊急修補為止。
2
2026.04Shielded Labs 聘請 Taylor Hornby 做持續安全研究目標是先於惡意攻擊者找出 Zcash 協議漏洞,並結合最新 AI 輔助安全稽核技術。
3
2026.05.29Taylor 發現 Orchard 電路漏洞並揭露給 ZODL他使用 Anthropic Opus 4.8 與自製 AI harness 進行高度針對性的 Orchard circuit review。
4
2026.06.01–06.02緊急修補完成,生態系回應告一段落ZODL、Zcash Foundation 與其他參與者快速協作,關閉漏洞利用窗口。
03 · WHAT WENT WRONG

技術問題:Orchard circuit 有一個 under-constrained element

簡化來說,某個本該被嚴格約束的電路元素沒有被約束完整,導致攻擊者可以把任意假的輸入塞進橢圓曲線乘法,卻仍然通過乘法檢查。

假的輸入攻擊者放入任意 false inputs
約束不足的 Orchard circuitunder-constrained element 讓檢查沒有真正綁住輸入
偽幣通過在隱私池內生成不可偵測的 counterfeit ZEC

這也是為什麼它特別嚴重:不是偷某個人的幣,而是破壞整個供給完整性。對任何貨幣系統來說,「可被無限增發且外界看不出來」都是最壞等級的漏洞。

04 · WHAT WE KNOW / DON'T KNOW

已知與未知,必須分開看

這份聲明最重要的誠實之處,是沒有把「我們覺得不太可能被利用」包裝成「我們可以證明沒有被利用」。

我們知道的事

漏洞真實存在、可被 exploit;它存在於 Orchard 啟用後的多年期間;修補已在 2026 年 6 月初部署;白帽研究者有能力在本地生成偽造 ZEC。

我們不知道的事

在修補前,是否曾有其他人獨立發現並利用它。由於 Orchard 的隱私屬性,沒有辦法只靠密碼學直接證明「完全沒有」。

05 · PRIOR EXPLOITATION

Shielded Labs 為什麼認為先前被利用的機率不高?

他們的判斷不是「不可能」,而是「不太可能」。理由包括:漏洞躲過多年頂尖密碼學家審查、這次發現是刻意白帽研究的成果、且修補速度壓縮了攻擊窗口。

🧠

多年審查都沒抓到

這代表漏洞不容易被一般攻擊者偶然發現。

🤖

AI 輔助白帽搶跑

Taylor 使用最新 AI 模型與自製稽核工具,目標就是先於攻擊者找到這類漏洞。

⏱️

揭露後快速修補

一旦漏洞被發現,ZODL 與生態系迅速完成緊急回應,縮短可利用時間。

這件事該怎麼理解?

目前最合理的態度是:先前利用看起來不太可能,但使用者不應只靠任何人的主觀評估。

謹慎樂觀
關鍵:這不是要大家相信 Shielded Labs 的判斷,而是要透過網路升級,讓任何人能驗證 Zcash 供給完整性。
06 · THE PROPOSED NEXT STEP

解法方向:新 shielded pool,加上 turnstile accounting

Shielded Labs 正與其他 Zcash 開發者探索一個網路升級:部署新的隱私池,並要求所有從 Orchard pool 轉出的幣都通過 turnstile accounting,藉此證明 Orchard 內不存在偽造供給。

舊 Orchard pool曾經存在不可證明是否被利用的漏洞
Turnstile accounting要求資金遷移時留下可核對的供給約束
新 shielded pool讓使用者重新獲得可驗證的供給完整性

這種做法不會只是技術 patch,而是重大 network upgrade,需要 Zcash 使用者支持,也必須走標準治理流程。Shielded Labs 表示會在下一篇文章更詳細解釋設計與取捨。

07 · SECURITY AFTERMATH

這次事件也暴露出新型安全競賽:白帽 AI vs. 攻擊者 AI

Taylor 使用 Opus 4.8 輔助找到漏洞,這讓事件多了一層產業意義:AI 不只是會寫程式,也正在改變高階密碼學審計與漏洞發現速度。

🔎

加速主動安全研究

Shielded Labs 表示會繼續使用 state-of-the-art AI tools,搶在壞人之前找問題。

📐

形式化驗證 Orchard circuit

他們將啟動 formally verify Orchard circuit 的專案,嘗試用數學證明沒有更多未發現錯誤。

🧑‍💻

補強安全團隊

Shielded Labs 正尋找 Head of Security 與 Cryptographer,擴大安全能力。

這是一場隱私幣危機,也是一場白帽 AI 稽核的示範:未來安全問題不只是誰的密碼學更好,還包括誰能更快把 AI 變成審計武器。