Zcash 曝四年隐私池漏洞：攻击者可无限伪造 $ZEC，价格 24 小时暴跌超 25%据 Zcash 官方披露，一个潜伏近四年的严重漏洞近日被发现。攻击者可利用该漏洞在 Orchard 隐私池中凭空生成任意数量的 $ZEC，这些伪造代币能通过网络全部验证，被系统视为合法交易，且事后因隐私加密机制无法区分真伪。Zcash 创始人 Zooko Wilcox 今晨公开了事件经过。该漏洞位于 2022 年 5 月上线的 Orchard 隐私池。该池所有转账均加密，外界无法看到转账双方和金额，一直被视为核心安全功能。5 月 29 日，安全研究员 Taylor Hornby 使用 Anthropic 刚刚发布一天的 AI 模型 Opus 4.8 进行代码审计时，发现了 Orchard 加密验证系统中的关键缺口。攻击者可伪造交易证明，让节点认为交易合法，从而在 Orchard 内无限铸造“zcash:native”。由于隐私保护，这些假币完全无法被检测或追踪。Hornby 当天即通知 Zcash 开发团队。团队迅速响应：6 月 2 日临时关闭 Orchard 全部交易功能，6 月 3 日通过网络升级完成修复并重新启用。过去四年是否已被利用？目前无法确定。从技术上也无法证明。因为 Orchard 的隐私设计，所有历史交易均加密，无法回溯审计。Zcash 基金会表示，协议内置的资金计量系统未检测到异常，Shielded Labs 评估被大规模利用的可能性较低。为彻底消除疑虑，Shielded Labs 正在推进一项新网络升级提案：建立全新隐私池，对 Orchard 内所有代币进行“清点”，让任何人均可公开验证 $ZEC 总供应量是否遭篡改，详细方案将于下周公布。值得注意的是，这并非 Zcash 首次遭遇类似问题。2018 年，其更早的 Sprout 隐私池也曾被发现存在无限增发漏洞，同样多年未被察觉，且事后无法确认是否被利用。