曾被利用?资金可追?供应量可验?还有别的漏洞吗?

6月5号那天，隐私项目Zcash是市场上绝对的主角——只不过是以一种不太光彩的方式。新一代隐私池Orchard被曝存在一个关键伪造漏洞，消息一出，代币ZEC价格直接腰斩，最低跌到250美元附近。经过十来天的市场消化，恐慌情绪逐渐退潮，今天价格又回到了500美元关口。

今天上午，Zcash创始人Zooko Wilcox发布了一篇长文，正面回应了大家最关心的几个问题。他的核心判断是：这个漏洞之前被利用的可能性不大，合法的Orchard资金大概率可以追回；另外，接下来要进行的Ironwood升级将彻底封存Orchard池，恢复用户验证供应量的能力。至于有没有其他隐藏的伪造漏洞，目前持续审查中尚未发现，但要彻底确认还需要更多工作。

以下是Zooko Wilcox原文的全文翻译与整理。

这波Orchard漏洞的讨论，把几个完全不同性质的问题搅在了一起，搞得很多人搞不清自己手里的资金到底安不安全。其实核心就四个问题，我们一个一个拆开说：

• Orchard漏洞到底有没有被利用过？
• 合法的Orchard资金还能不能追回来？
• 用户有没有办法自己验证Zcash的供应量没被人偷偷增发？
• 除了这个，还有没有别的伪造漏洞藏在那里？

Orchard漏洞是否曾被利用过

坦白讲，这个问题没有100%确定的答案。但我们的判断是：被利用的可能性不大。尽管不能完全排除，但有三个理由支撑这个判断，值得展开说说。

其一，这个漏洞藏得很深。全球顶尖的密码学家和安全研究人员翻来覆去审查了好几年，愣是没发现它。最终找到它的，是Shielded Labs的Taylor Hornby，这个人做的事就是主动出击，在恶意攻击者得手之前把漏洞揪出来。他用的工具也很特别——结合了先进的AI辅助安全研究和专门定制的自定义工具，专挑那种别人容易遗漏的细微缺陷。对于不熟悉Zcash代码库的人来说，想复现这种发现几乎不可能。

其二，漏洞被发现后，Zcash的开发团队（由Zcash Open Development Labs牵头）反应非常快，迅速跟矿池协调，暂时冻结了Orchard池并部署了修复代码，等于直接把攻击者的窗口期给堵死了。

其三，加密货币行业的漏洞利用有一个共性——攻击者一旦得手，几乎都是抢时间变&现，尤其是在漏洞被公开之后。要从这个漏洞中真正获利，攻击者得把伪造的ZEC换成有价值的资产，而这个过程通常会让伪造资金通过转门机制流出Orchard池。如果修复前真有人动过手，我们大概率已经看到痕迹了。从历史经验来看，加密货币的漏洞利用更多是“抢了就跑”的街斗模式，不太像是那种能藏几个月甚至几年的“国际象棋长线布局”。

合法的Orchard资金能否被追回

我们认为可以。前提是——我们判断这个漏洞没有被利用过。如果这个判断成立，那么所有合法进入Orchard池的资金，理论上都能全部追回。

反过来看，如果Orchard里真的发生过伪造，情况就复杂了。现有的转门机制会把总迁移量限制在合法进入池内的ZEC数量之内。也就是说，如果伪造资金赶在合法资金之前被搬走，用户的一部分甚至全部合法Orchard资金，可能就真的拿不回来了。

我们认为这种场景发生的概率很低。但对于比较谨慎的用户，还是建议把ZEC从Orchard中转出来。不过在动手之前，有这么几点值得提前了解清楚：

• 资金转到透明池（t地址）的话，转账金额和转账时间都会被公开暴露，这些资金也会跟这个t地址形成明确的关联。
• 资金转到Sapling池的话，虽然金额和时间也会暴露，但不会跟具体地址或交易历史绑定，隐私保护程度比转透明池高。
• Sapling池依赖2018年进行的那次可信设置仪式。这个可信设置的安全性本身，也是用户需要额外评估的风险点。
• 目前市面上支持Sapling池的自托管Zcash钱&包，据我们所知只有YWallet和Zkool被广泛使用。
• 把钱转移到新的钱&包或者托管服务，也会带来新的风险——用户操作失误、软件本身的Bug、托管方的信用风险，这些都得算进去。

总体来看，我们认为上述风险属于中等水平。如果你的资金目前放在一个屏蔽自托管钱&包里，考虑到我们判断伪造不太可能已经发生，把钱留在原地也是一个合理的选择。当然，如果你有安全可靠的转移路径，把它挪到别处也是说得通的。每个用户根据自身情况，完全可以做出不同的判断。

用户能否验证Zcash的供应量未被增发

目前还不行。漏洞的存在本身，意味着用户没办法独立验证当前屏蔽池里流通的ZEC是否超过了应有的数额。

不过，正如我们之前文章里提到的，即将到来的Ironwood升级会恢复这个验证能力。下面这张图能说明为什么。

这次拟议的网络升级，打算通过两个动作来解决这个困境：一方面增加“不存在更多未知伪造漏洞”的保证，另一方面直接封存Orchard池。新资金不能再进来，池内的资金也不能再流通。唯一的出路就是现有的转门机制，而这个机制本身就保证了从Orchard池转出的ZEC不会超过合法进入池子的数量。

换句话说，升级完成后，用户验证Zcash供应量健全性的能力就回来了。哪怕Orchard池里真的存在伪造资金，它们也无法继续在池内流通、无法推高总供应量。运行节点的人都能自己验证——流通中的ZEC不会超过正确数额。

用户不再需要去猜“攻击者有没有动过手”，也不需要推断“其他人会不会做什么”，协议本身给出了可验证的保证。

这一点非常重要。Zcash的长期可信度，说到底取决于用户能不能自己验证供应量是不是健康的。Ironwood升级恢复的，正是这个能力。

我们如何知道不存在其他的伪造漏洞

这个问题的答案很直接：现在还不能完全确定。但我们有理由相信，不存在其他漏洞。

Shielded Labs和好几个团队一直在对Zcash协议进行仔细审查，专门排查是否还有其他伪造漏洞。这中间还包括在Anthropic的帮助下，在Mythos被叫停前不久，使用尚未公开发布的Mythos AI模型来搜索额外的漏洞。我们会在后续的博文里分享更多关于这次审查的细节和发现。

到目前为止，还没有找到第二个伪造漏洞。考虑到参与这次搜索的人都是这个领域的顶尖专家，投入的精力以及AI辅助分析的水平，我们有理由相信，像Orchard这样的漏洞不太可能还有藏着的。

与此同时，我们也在跟Tachyon Project等项目合作，为“Zcash里没有更多伪造漏洞”这件事提供额外的保证。这个也会在未来的博文里进一步展开。

结论

总结一下，Orchard漏洞带来了四个关键问题：漏洞是否被利用过、合法资金能否追回、用户能否验证供应量、是否存在其他隐藏漏洞。

我们的判断是：漏洞被利用的可能性不大，所以合法的Orchard资金可以追回，当前Zcash的总供应量也是安全的。多个独立团队和研究人员持续审查的结果，也让我们越来越有信心——其他未被发现的伪造漏洞大概率是不存在的。

但必须承认的是，用户目前还无法自己验证Zcash供应量的安全性。而且公平地说，用户本不该依赖于我们（或任何其他人的）判断来做这件事。

拟议的网络升级正是要解决这个根本问题。通过封存Orchard池，它恢复了用户独立验证Zcash供应量安全性的能力。用户不再需要去判断“到底有没有发生过伪造”，就能直接验证协议是否严格执行了供应限制。