Zcash 修補 Orchard 池可無限鑄造 ZEC 漏洞

【重點】研究員 Taylor Hornby 於 2026 年 5 月 29 日發現 Zcash 的 Orchard 池存在嚴重偽造漏洞，並向 Zcash Open Development Lab 匯報。若被濫用，攻擊者可在 Orchard 內暗中鑄造數量無上限、難以察覺的假 ZEC。該漏洞自 Orchard 於 2022 年 5 月啟用起一直存在，直至 2026 年 6 月 1 日緊急修補部署。 Taylor Hornby 表示，他曾利用 AI 工具撰寫完整利用程式，並在本地測試環境中生成理論上可"無限"且不可偵測的假 ZEC。由於 Orchard 的隱私設計，從密碼學層面幾乎無法判斷修補前是否曾遭利用。Shielded Labs 正與其他 Zcash 開發者合作，研究名為"供應驗證（supplyverification）"的網絡升級方案。 【影響解讀】即使漏洞已修補，若持有人無法驗證過往發行是否保持有效，供應完整性的不確定性仍可能削弱市場對貨幣資產的信心。 【市場情緒】審慎偏淡，技術事件主導。原因在於 Orchard 漏洞理論上可導致"無限"假 ZEC，修補雖已完成，但信心壓力或仍持續。 【類比案例】2018 年 Bitcoin Core 的 CVE201817144 曾可能導致雙重支付，補丁在數小時內提供，36 小時內發布二進位版本，且比特幣主網未被利用（Bitcoin Optech）。不同之處在於，比特幣賬本在事後可確認主網未遭攻擊；Zcash 的 Orchard 隱私特性限制了同類驗證。 【連鎖效應】供應完整性的不確定性可能由協議風險延伸至流動性層面，例如持有人或交易場所要求更強的證明，才會將 ZEC 視為已"完全驗證"的資產。若開發團隊把升級方案落地為可執行的網絡改動，並提供更清晰的驗證路徑，信心壓力有望逐步緩解。 【機會與風險】 - 機會：若 Zcash 公布供應驗證的升級提案，待實施細節更明確後再增加 ZEC 敞口，可望降低不確定性。 - 風險：若未能提出可信的驗證方案，減少 ZEC 敞口可限制供應信心風險帶來的下行影響。