四年了，Zcash居然藏着一个能无限印钱的漏洞

今天币圈最炸的消息，莫过于隐私币Zcash（ZEC）的那点破事。

事情是这样的。5月29日，安全研究员Taylor Hornby在Zcash的Orchard资金池里发现了一个惊天漏洞——理论上，攻击者可以在这个隐私池里无限铸造假ZEC，而且因为池子本身的设计就是匿名的，你根本没法查。

你没看错。一个靠”隐私”吃饭的项目，被自己的隐私特性反噬了。

据说Hornby是在AI工具的协助下完整写出了利用程序，在本地测试环境里成功生成了无限且无法追踪的假ZEC。如果这个漏洞在野被利用过，那ZEC的实际流通量可能已经是个未知数了。

消息一出，ZEC直接跳水。OKX数据显示最低跌到250 USDT，24小时跌幅超54%，从550刀直接腰斩。

ZEC财库公司的回应让人更慌了

ZEC财库公司Cypherpunk发了个声明说：”所有软件都有漏洞，比特币历史上还多铸过1840亿枚BTC呢。”

啊这……拿比特币的错误来类比，真的不是在补刀吗？

确实，比特币早期有过整数溢出漏洞创造了1840亿枚BTC，但那是在2010年，而且是即时发现、即时修复的。Zcash这个漏洞从2022年5月Orchard上线就一直存在，整整潜伏了4年。更关键的是，比特币那次事后可以验证没有造成实际损失，而Zcash这边——因为隐私池特性，根本无法自证清白。

这件事说明了什么？

隐私币一直有个根本性矛盾：既要在链上隐藏交易信息，又要保证资产供应总量可验证。Zcash这次翻车，把这个矛盾赤裸裸地摆在了台面上。

说实话，我一直觉得Zcash在技术上是很严肃的隐私项目，团队也确实在第一时间修复了。但”无法证明漏洞从未被利用”这件事，对市场信心的打击是毁灭性的——持有者会想：万一市场上真的多了一堆我看不到的假ZEC呢？

同样的情况，也可能发生在任何依赖零知识证明的隐私项目上。这是一记警钟，敲给整个隐私赛道听的。

当然，换个角度，这件事也说明AI辅助的代码审计正在成为一把双刃剑——能更快发现漏洞是好事，但当攻击者也能用AI更快地写利用代码时，整个行业的安防水位都需要被迫提高了。

#cryptocurrencies #blockchain #pickful

免责声明：以上内容仅供娱乐交流，不构成任何投资建议。DYOR。