Zcash (zec) 在研究人員披露一項關鍵缺陷後暴跌 31%。該缺陷可能讓攻擊者在網路中專注隱私的 Orchard 資金池內無限鑄造偽造代幣,不過開發者表示,這個漏洞已在任何已知攻擊發生前被修補。
Zcash 漏洞
獨立支援組織 Shielded Labs 於週四透露,資安工程師 Taylor Hornby 在 4 月開始的一次協議審查中,發現 Zcash Orchard 交易池存在嚴重漏洞。
這個缺陷影響 Orchard——該網路的隱私資金池,透過零知識證明來驗證私密交易。依據 Shielded Labs 的說明,這項漏洞允許 攻擊者在橢圓曲線乘法運算過程中提交錯誤的輸入,卻仍可通過交易驗證,理論上可用來無限生成偽造的 ZEC。
Hornby 在 5 月 29 日透過傳統安全分析與 AI 輔助研究(包括 Anthropic 的 Opus 4.8 模型)相結合,識別出這個問題。他立刻將結果回報給 Zcash Open Development Lab 的工程師,而該漏洞已於 6 月 1 日完成修補。
研究人員表示,他們在本地測試環境中成功建立了概念驗證(PoC)型攻擊,證明該缺陷確實存在,且在受控條件下能產生無法被偵測的偽造 ZEC。
延伸閱讀: Anthropic Submits Secret S-1, Eyes October IPO At Near-Trillion Valuation
AI 助攻發現漏洞
儘管漏洞相當嚴重,Shielded Labs 表示實際遭到攻擊的可能性看來不高。這項缺陷自 Orchard 於 2022 年 5 月上線以來就已存在,但在密碼學家與安全研究人員長期審查下仍未被察覺。
該組織指出,此次發現源自一項鎖定進階漏洞的專案,目的是在惡意行為者之前主動找出問題。研究人員將新近推出的 AI 工具與自製的安全工作流程結合,用來加速程式碼分析與漏洞挖掘。
由於 Orchard 交易天生具備隱私特性,調查人員無法確定這個漏洞是否曾在實務上被濫用。然而,Shielded Labs 表示,目前沒有任何證據顯示在主網上出現偽造代幣。
團隊目前正在評估一項網路升級方案,讓用戶可以獨立驗證 Zcash 總供給的完整性。
提案內容包括部署新的隱私資金池,並引入額外的帳務機制,用來證明 Orchard 中不存在任何偽造的 ZEC。
這項披露引發市場劇烈反應。
ZEC 在週五清晨跌至約 383 美元,較前 24 小時大跌約 36%,且大部分跌勢集中在消息公開後數小時內。近年來,該代幣多次出現極端波動,經常對隱私技術進展、監管消息與網路安全事件做出強烈反應。
接下來看: Kalshi Seeks U.S. Clearance For XRP, Solana And Dogecoin Perps