根据安全披露,一个可能导致网络受保护的 Orchard 池内 ZEC (Zcash) 代币被无限伪造的严重漏洞已被识别并立即修补。
该缺陷由研究员 Taylor Hornby 于 2026 年 5 月 29 日发现,并向 Zcash 开放开发实验室报告。开发人员迅速行动起来,在 6 月 2 日之前部署了紧急修复程序。该漏洞自 Orchard 屏蔽协议于 2022 年 5 月首次激活以来就一直存在,可能存在四年的暴露窗口。
Zcash Orchard 屏蔽交易池的可视化表示。 (图片来源:原文链接)Hornby 利用人工智能辅助工具开发了一个完整的漏洞利用程序,能够在本地测试环境中生成无法检测的伪造 ZEC。核心风险是攻击者可能在 Orchard 池中创建无限数量的欺诈性代币,严重破坏加密货币的供应完整性和经济稳定性。
“使 Orchard 交易匿名的隐私功能也使得无法通过加密方式验证该漏洞是否在补丁发布之前在实时网络中被利用,”开发团队的一份声明解释道。这意味着没有明确的方法来审核主网过去的利用情况,从而对漏洞期间的总供应量留下永久的问号。
漏洞发现和补丁周期的时间表。 (图片来源:原文链接)为了应对这一事件,Shielded Labs 目前正在与其他 Zcash 核心开发人员就潜在的网络升级提案进行合作。这些升级的目标是引入机制,允许未来验证 Zcash 的总供应完整性,即使是在其屏蔽池内,以防止类似的不确定性。
Zcash 开发社区的快速响应凸显了在复杂的隐私保护区块链系统中维护安全性所面临的持续挑战。建议用户确保将其客户端软件更新到包含 2026 年 6 月 1 日安全补丁的最新版本。