尽管漏洞已被修复,但在过去24小时内,ZEC市值下跌了近30亿美元。
周四,ZEC 价格下跌,此前 Zcash Orchard 池中存在关键假冒漏洞,理论上可能允许恶意分子无限量铸造 ZEC。
据 X 上的一篇帖子报道,受聘于 Shielded Labs 的安全工程师 Taylor Hornby 于5月29日发现了该漏洞,并向 Zcash Open Development Lab(ZODL)披露,后者于6月3日启动了紧急响应,硬分叉启动了修复漏洞。
然而,关于自2022年5月以来存在的漏洞被利用的程度引发了新的担忧,导致Zcash在过去24小时内下跌超过30%,至撰写本文时的410美元。其市值已减少超过30亿美元。
然而,BitMEX联合创始人Arthur Hayes周五表示,ZEC被非法铸造的可能性不大,尽管他也承认“无法通过正式的密码学证明这不可能”。
“可惜因为果园池事件,我不得不把整个ZEC包都倒掉了,”他说。
他补充道:“圣三位一体已经死了,”指的是Zcash以及他本周卖出的另外两个代币Hyperliquid(HYPE)和Near Protocol(NEAR)。
Claude 协助发现漏洞
泰勒使用了于5月28日发布的Claude Opus 4.8,该版本在发现前一天,协助对果园电路进行了高度针对性的审查,果园电路是Zcash果园屏蔽池背后的密码组件。
关键漏洞导致椭圆曲线乘法检查中出现错误输入,这意味着本应用来加密验证交易的数学可能会被欺骗。
Taylor构建并测试了一个可运行的漏洞,生成了无限的假ZEC代码。
安全研究人员周五表示:“如果他在Zcash主网上运行同样的工具,主网Zcash钱包中会生成无限且无法检测的假ZEC代码。”
主要担忧是,由于Orchard的隐私属性,目前没有密码学方法证明在修补前是否有人利用过该系统。
然而,Shielded Labs“并不太担心”,因为该漏洞足够隐蔽,能躲避多年的专家审查,且这一发现是利用尖端工具和人工智能进行的有意且高技能的努力。
他们表示,公司正与Zcash开发者合作,拟议进行网络升级,以便任何人都能验证ZEC供应的完整性,并证明Orchard代币池中不存在假冒代币。
这不是Zcash首次出现假冒漏洞
Solana 工具公司 Helius 的联合创始人兼首席执行官 Mert Mumtaz 表示,几乎所有隐私协议都存在这一漏洞的变体。
“随着新人们了解隐私池的运作方式,这种恐惧恐惧(FUD)每五个月就会回来,”他说。
他解释说,在大多数零知识隐私协议中,这只是一个理论风险,来自难以被利用或检测的电路漏洞。
这并非Zcash首次发现类似漏洞。2018年,Electric Coin Company发现zk证明密码学中的伪造漏洞,并于2019年无损失地修复了该漏洞。
