币圈界报道：

Zcash核心隐私层暴发严重安全危机，漏洞潜伏两年终被曝光

Zcash联合创始人Zooko Wilcox近日公开承认，其网络中的Orchard隐私池存在一个关键性安全缺陷，该漏洞可能允许恶意行为者在不被察觉的情况下生成任意数量的虚假ZEC代币。

隐蔽漏洞历时两年未被发现，由AI辅助审计揭示

该安全隐患于5月29日由独立安全专家Taylor Hornby在对Orchard零知识证明系统进行深度审查时识别。问题源于电路逻辑设计上的疏漏，导致系统可能错误批准本应被拒绝的交易请求。

据参与研究的实验室透露，研究人员借助自研人工智能分析工具，在本地模拟环境中成功构建出能够持续生成伪造代币的完整攻击模型。该漏洞自2022年5月部署以来长期存在于生产环境，直至本次审计才浮出水面。

尽管存在双重支出风险，Zcash基金会确认当前总供应量未受影响。由于采用“旋转门”记账机制，各资金池的流出总额始终等于流入总额，目前尚未发现任何异常增发迹象。

紧急响应启动，多阶段修复流程完成部署

事件触发了Zcash开放开发实验室与基金会的联合应急机制。5月31日夜间，项目团队与矿工节点及主要交易所展开闭门协调沟通。

6月2日世界标准时间凌晨约02:00，针对区块高度3,363,426的软分叉正式激活，临时禁用Orchard功能以防止潜在攻击。在此期间，开发团队完成了漏洞修复代码的编写与验证。

6月3日美国东部时间00:05，NU6.2版本硬分叉在区块3,364,600成功上线，修复后的零知识证明电路重新启用Orchard隐私功能。然而，由于其匿名特性，补丁发布前是否存在实际滥用行为在密码学层面无法追溯。

相关技术团队指出，虽然此次升级解决了已知漏洞，但无法排除资金池曾被篡改的可能性。为此，新提案计划推出全新的隐私池架构，并引入基于旋转门机制的资金流向追踪系统，使所有从Orchard流出的资金均可被公开验证，杜绝伪造代币可能性。该方案需经社区投票并完成治理流程后方可实施。

这并非Zcash首次面临类似挑战。2019年，旧版Sprout隐私池也曾暴露出一个长期未被察觉的代币伪造漏洞，但同样无证据显示曾被实际利用。