跳到主要内容

Zcash Orchard 池严重漏洞:NU6.2 紧急硬分叉修复

2026 年 6 月 5 日,Zcash 披露 Orchard 屏蔽池的零知识证明电路存在一个健全性(soundness)漏洞,潜伏了大约四年。研究员 Taylor Hornby 借助 AI 工具发现并写出了可用的攻击原型。开发团队用约 50 小时完成 NU6.2 紧急硬分叉修复,ZEC 价格一度暴跌 40%,但代币总供应量没有受到影响。

漏洞是怎么被发现的

5 月 29 日,独立安全研究员 Taylor Hornby 在为 Shielded Labs 做协议审计时,盯住了 Orchard 的证明电路。他用 Anthropic 的 Claude Opus 4.8 做了一次高度针对性的审查,模型帮他定位到 halo2_gadgets crate 里的一处实现缺陷。

随后 Hornby 写出一个完整的概念验证(PoC)攻击程序,在本地测试环境里成功"凭空"生成了伪造的 ZEC。这个漏洞从 2022 年 Orchard 随 NU5 上线时就存在,一直没被发现。

AI 辅助审计

这是公开记录里少数由 AI 模型直接协助定位的密码学协议级漏洞之一。它说明 AI 已经能在零知识电路这种高度专业的领域帮研究员缩小排查范围。

漏洞的实际影响范围

这是一个证明系统的健全性问题,不是节点崩溃类的可用性问题。具体能做什么、不能做什么需要分清楚:

项目情况
漏洞类型Orchard 证明电路健全性缺陷
潜在后果Orchard 池内接受无效状态转移,可能造成池内双花
是否能增发总量否,turnstile 机制锁住了 ZEC 总供应量
影响的资金仅 Orchard 屏蔽池内,透明地址和 Sapling 不受影响
是否被利用没有任何被利用的证据

关键一点是 Zcash 的 turnstile(旋转门)机制:每个资金池进出都有独立的余额核算,即便攻击者能在 Orchard 池内部伪造交易,也无法让 ZEC 的总流通量超过协议上限。这把最坏情形从"无限增发"压到了"池内双花"。

50 小时的紧急响应

从确认漏洞到主网修复激活,开发团队分两步走。

第一步:软分叉止血。 Zebra 4.5.3 部署了一个紧急软分叉,临时禁用所有 Orchard action,相当于先把可能被攻击的功能关掉,争取修复时间。

第二步:硬分叉修复。 Zebra 5.0.0 带着 NU6.2 升级,用修正后的电路重新启用 Orchard。NU6.2 在 6 月 3 日 EDT 凌晨 00:05 成功激活。

升级窗口期间,Binance、Coinbase 等主流交易所暂停了 ZEC 的充提,等 NU6.2 在主网稳定后才恢复。

市场反应:ZEC 暴跌 40%

消息公布后市场恐慌性抛售。ZEC 价格行情:

指标数据
暴跌前价格约 $580
最低点跌破 $350
最大跌幅约 40%
蒸发市值超过 $30 亿
6 月 8 日价格回升至约 $450

抛压主要来自两类担忧:一是屏蔽池资金安全,二是"漏洞潜伏四年"对协议成熟度的信任打击。但因为没有实际被盗、总量没有受损,价格在跌破 $350 后开始反弹。

下一步:Ironwood 升级

NU6.2 是应急补丁,真正的长期方案是 7 月的 Ironwood 升级。开发团队在 6 月 9 日敲定了 Ironwood 的时间表。

Ironwood 会部署一个全新的屏蔽池,支持独立的供应量审计——也就是让任何人都能在不破坏隐私的前提下,验证屏蔽池里的 ZEC 总量没有被伪造。这从根本上堵住这次漏洞暴露出的"无法外部审计"短板。

升级时间作用
NU6.26 月 3 日(已激活)修正 Orchard 电路,应急修复
Ironwood7 月(计划中)新屏蔽池,支持供应量独立审计

对持有者意味着什么

对普通 ZEC 持有者,这件事有几个实际结论。

资金是安全的。 没有任何证据显示漏洞被利用,turnstile 机制也保证了总量没有被增发。你钱包里的 ZEC 数量不会因此减少。

必须更新钱包和节点。 NU6.2 是硬分叉,运行旧版本节点的用户需要升级到支持 NU6.2 的版本(Zebra 5.0.0 或对应的钱包更新),否则会停留在不兼容的旧链上。

这次响应反而是个正面信号。 漏洞被白帽研究员先发现、50 小时内修复、全程透明披露,比悄悄打补丁要健康得多。隐私协议的真正风险是漏洞被恶意方先找到,而这次是相反的剧本。

注意

如果你自己运行 Zcash 全节点,请尽快确认已升级到支持 NU6.2 的版本。交易所用户无需操作,平台会自行完成节点升级。

相关资源