Zcash披露Orchard私密資金池重大漏洞　理論上可無限偽造ZEC

據CoinDesk報道，Zcash開發團隊披露，網絡的Orchard屏蔽（shielded）資金池曾存在一項關鍵漏洞，理論上可令攻擊者在不被發現的情況下偽造無限數量的ZEC。團隊本周較早時間已緊急完成修補，但指出僅靠密碼學手段，無法確認在修補前主網是否曾遭利用。 Shielded Labs（負責披露）於6月5日表示，漏洞自Orchard於2022年5月啟用起一直存在，直至2026年6月2日才完成修復。市場此前觀察到的協調式網絡升級，正是針對是次漏洞的修補。 安全研究員Taylor Hornby在一次受信任的安全審查中於2026年5月29日發現問題，並在本地測試環境成功構建可運作的利用程式。披露文件指，漏洞源於Orchard電路（circuit）約束不足，令畸形輸入可通過橢圓曲線乘法驗證，從而生成偽造ZEC。由於Orchard交易採用私隱保護機制，外部人士無法像在公開賬本那樣逐筆核查交易，進一步增加核證難度。 開發團隊表示，目前沒有證據顯示漏洞在修補前被利用。但同時亦承認，外界無法給出決定性證明，去排除偽造代幣曾否進入流通的可能，意味即使漏洞已被修補，Zcash供應量完整性仍存在不確定性。 Shielded Labs稱，團隊評估歷史可被利用的風險偏低，部分原因是該問題長時間未被資深密碼學研究人員察覺；在內部確認後，漏洞可被利用的時間窗口亦迅速收窄。團隊正評估後續可能需要的網絡升級。 披露亦提到，研究人員在審查期間使用了Anthropic的Opus 4.8模型及自訂的AI輔助審計方法，並表示漏洞是在該新模型發布後不久被發現。 團隊現正研究是否啟動後續網絡升級，以進一步驗證Zcash供應量的完整性，並回應市場對偽造ZEC的外部疑慮。初步方案包括啟用新的屏蔽資金池，並對從Orchard流出的代幣引入"turnstile accounting"核證機制。更多細節預計將於下周公布。 時間線：發現日期為2026年5月29日；緊急修補於2026年6月2日完成；披露日期為2026年6月5日。