编者按:北京时间6月5日,隐私项目Zcash被爆新一代隐私池Orchard曾存在关键伪造漏洞,ZEC代币价格一度腰斩。经过十余天发酵,市场情绪有所缓和。今日,Zcash创始人Zooko Wilcox发布长文,就市场关切的四大问题作出详细回应。
Wilcox表示,Orchard漏洞此前被利用的可能性较低,合法Orchard资金可追回;用户目前尚无法自行验证Zcash供应量是否超标,但即将到来的Ironwood升级将通过封存Orchard池来恢复这一验证能力;持续审查中未发现其他伪造漏洞,但完全确定仍需更多工作。
Orchard漏洞是否曾被利用?
Wilcox认为,漏洞此前未被利用的可能性较大,理由有三:其一,漏洞由Shielded Labs的Taylor Hornby使用先进的AI辅助工具主动发现,而非被恶意攻击者利用;其二,漏洞公开后,开发团队迅速协调矿池暂时冻结Orchard池并部署修复,限制了攻击窗口;其三,若漏洞已被利用,伪造的ZEC需通过转门机制变现,预计已有证据浮现,而此类攻击通常倾向于快速变现而非长期隐藏。
合法的Orchard资金能否被追回?
基于漏洞可能未被利用的判断,Wilcox认为所有合法的Orchard资金仍可完全追回。他解释,现有的转门机制会将从Orchard池迁移出的ZEC总量限制在合法进入该池的数额内。若伪造资金先于合法资金被迁移,用户可能无法追回全部资金,但他认为这种情况不太可能发生。
对于谨慎的用户,Wilcox建议可将资金移出Orchard,但需注意相关风险:转移到透明地址(t地址)会暴露金额和时间;转移到Sapling池虽不关联特定地址,但依赖2018年的可信设置;目前支持Sapling的自托管钱包较少;转移过程可能引入操作失误或托管风险。总体而言,他认为风险适中,用户可根据自身情况决定。
用户能否验证Zcash供应量未被增发?
Wilcox指出,由于漏洞曾存在,用户目前无法独立验证屏蔽池中流通的ZEC是否未超过正确数额。然而,即将到来的Ironwood升级将解决这一问题。
升级将通过封存Orchard池来恢复验证能力:新资金无法进入,池内资金无法流通,仅能通过转门机制迁出,且迁出量不超过合法进入量。无论是否发生过伪造,任何运行节点的人都可验证流通中的ZEC不会超过正确数额。Wilcox强调,这对Zcash的长期可信度至关重要,因为用户应能自行验证供应量的健全性。
如何知道不存在其他伪造漏洞?
Wilcox表示,目前尚不能完全确定,但有理由相信不存在其他漏洞。Shielded Labs等多个团队一直在仔细审查Zcash协议,包括使用尚未发布的Mythos AI模型进行搜索。截至目前,未发现其他伪造漏洞。高水平专家和AI辅助分析增加了信心。此外,团队正与Tachyon Project等项目合作,以提供额外保证,更多细节将在后续博文中分享。
结论
Wilcox总结,Orchard漏洞引发了四大问题:是否被利用、资金可追回性、供应量验证能力以及其他漏洞风险。他认为漏洞很可能未被利用,因此资金可追回且当前供应量安全;基于持续审查,也倾向于认为不存在其他类似漏洞。然而,用户不应依赖任何人的评估,而Ironwood升级将恢复用户独立验证供应量安全性的能力,这是Zcash生态恢复信任的关键一步。
