Zcash 修復 Orchard 致命漏洞　屏蔽交易全面恢復

Zcash 團隊本周完成一次罕見的「快速止血」：發現嚴重漏洞後即時停用受影響功能、完成修補，並在不足一周內恢復服務。事件未見被利用跡象，沒有資金損失，亦未出現私隱外洩。 漏洞由獨立研究員 Taylor Hornby 於 5 月 29 日在審計期間發現，影響 Zcash 的 Orchard 屏蔽資金池所使用的零知識證明電路。簡單而言，該缺陷理論上可令攻擊者在 Orchard 池內偽造看似有效的交易，從而造成有限度的雙重支付風險。Zcash Foundation 表示，未有證據顯示漏洞曾遭利用。 修復分兩步推進：團隊先在區塊高度 3,363,426 部署緊急 soft fork，自約 6 月 12 日起實質停用 Orchard 交易；其後推出名為 NU6.2 的 hard fork，於美東時間 6 月 3 日 00:05（約區塊 3,364,600）啟動，上線更新後的證明電路，完成修補並恢復 Orchard 全部功能。 過渡期間並非完全順暢。Zcash Open Development Lab（ZODL）指出，礦工升級新軟件時網絡一度出現不穩，6 月 3 日區塊出塊曾中斷逾 4 小時，待挖礦基建完成同步後才恢復。整體結果仍屬「乾淨」：未偵測到未經授權的價值生成，用戶私隱維持不變；事件平息後，Zcash 的屏蔽供應量亦已突破 400 萬枚 ZEC。 技術層面上，零知識證明是 Zcash 私隱功能的核心，容許用戶在不披露付款人、收款人及金額的情況下證明交易有效。Orchard 於 2022 年推出，是現時最新且最先進的屏蔽交易系統。所謂零知識電路的「soundness（健全性）」漏洞屬最高級別風險：一旦健全性失效，理論上可出現「憑空造幣」或同一筆資金重複花費，而網絡仍會誤判為合規。是次亦僅為 Zcash 歷來第二次因應保安需要而進行協議升級，反映問題罕見且嚴重。 ZODL 與 Zcash Foundation 協調應對，技術修補重點落在以 Rust 編寫的 Zebra 客戶端。 市場方面，消息公布後代幣在數小時內上升約 5% 至 14%，即使當時整體加密市場亦波動。出塊停頓 4 小時確實帶來成本，對在網絡上進行時間敏感操作的參與者影響尤其明顯；但就零知識證明出現致命漏洞的風險層級而言，數小時停機已屬相對可控的代價。