导语:Anthropic 最新 AI 模型 Claude Opus 4.8 在例行代码审计中意外揭开 Zcash 隐私协议 Orchard 的”伤疤”——一个存在近四年的关键漏洞。攻击者可通过该漏洞无限量铸造伪造 ZEC 代币,虽无法将假币带出池外,但市场信心已遭重创。ZEC 币价单日暴跌近 50%,这场 AI 与区块链的”联姻”首秀,揭示了人机协同安全审计时代的到来。
一、事件概述
1.1 漏洞发现经过
2026 年 5 月 28 日,Anthropic 发布 Claude Opus 4.8。次日,安全研究员 Taylor Hornby 便借助该模型对 Zcash 底层代码进行定向审计,意外发现 Orchard 隐私池中存在一项严重缺陷。该漏洞与 Orchard 电路中某个约束不足的元素有关——攻击者可向椭圆曲线乘法输入任意虚假输入,并仍使乘法检查通过。
值得注意的是,该漏洞自 Orchard 于 2022 年 5 月激活以来一直存在,直至 2026 年 6 月 1 日才被紧急修复部署。安全团队于 5 月 29 日发现漏洞后,立即协调 Zcash Open Development Lab(ZODL)进行应急响应,修复工作于 6 月 2 日完成,6 月 5 日正式对外披露。
1.2 市场反应
消息公布后,加密货币市场反应剧烈。ZEC 价格在 24 小时内从高点回落近 50%,从事件前的约 590 美元跌至 295 美元附近。BitpushNews 数据显示,ZEC 录得近段时间最大单日跌幅。投资者对隐私币的安全性信心受到冲击,短期内可能持续承压。
二、技术分析
2.1 漏洞原理
Orchard 是 Zcash 的隐私传输层,采用零知识证明(ZKP)技术保护交易隐私。其核心机制依赖于椭圆曲线乘法运算的约束验证——确保只有合规的输入才能通过验证。
该漏洞允许攻击者在不满足合法约束的情况下构造虚假输入,使椭圆曲线乘法检查形同虚设。攻击者可借此无限量生成”内部伪造 ZEC”,但这些假币实际上无法穿越 Orchard 的”旋转门机制”离开隐私池。
2.2 “旋转门机制”详解
鉅亨網分析指出,Orchard 设计了一道关键的安全闸门——”旋转门机制”(Rotation Gate)。即使攻击者能在内部无限增发伪造 ZEC,这些假币仍被锁定在池内,无法进入流通市场。
这意味着:漏洞的真实影响被控制在一定范围内,攻击者无法直接牟利。但该缺陷仍构成严重风险——它可能作为更复杂攻击链的跳板,或在特定条件下与其他漏洞联动,造成更大破坏。
三、处置方案
3.1 已完成修复
Zcash 团队已于 6 月 2 日完成漏洞修复并部署至主网。所有用户无需采取额外行动,但建议密切关注官方后续公告。
3.2 临时规避措施(如官方补丁未部署前)
在类似漏洞未修复的空窗期,可采取以下临时措施:
- 监控异常增发:部署链上分析脚本,监测 Orchard 池的净流入/流出异常;
- 限制大额转账:对来源不明的 ZEC 大额转账保持警惕,待确认来源可靠后再行处理;
- 关注官方公告:及时跟进 Zcash 官方安全公告,确保第一时间了解修复进展。
3.3 风险提示
此次修复未涉及硬分叉,但若未来出现类似漏洞需进行硬分叉升级,可能导致网络短暂中断或兼容性风险。建议节点运营者提前做好升级准备。
四、行业启示
4.1 AI 安全审计的里程碑
此次事件是 AI 在”硬核”安全审计领域能力的一次里程碑式展示。Claude Opus 4.8 能够在数小时内完成人工可能需要数周甚至数月的代码审计工作,并发现潜伏四年之久的深层漏洞。
这预示着:未来的漏洞挖掘竞赛将进入”人机协同”甚至”AI 主导”的新阶段。Web3 安全团队、区块链漏洞研究者需高度关注 AI 在代码审计、形式化验证等领域的应用潜力。
4.2 隐私币的信任危机
ZEC 此次暴跌反映出市场对隐私币安全性的深度焦虑。即使漏洞”无法造成实际伤害”,消息披露本身已足以重创投资者信心。隐私币赛道需重新审视自身安全审计机制,以应对日益严苛的市场审视。
五、总结
Claude Opus 4.8 发现 Zcash 核心漏洞,是 AI 与区块链安全交汇的标志性事件。该漏洞虽已修复,且未造成实际代币外流,但四年潜伏期与随后的币价崩盘,揭示了隐私协议安全审计的严峻挑战。
对于国内 Web3 从业者而言,本次事件既是警示,也是启示:AI 辅助代码审计已成现实,安全团队需尽快适应”人机协同”新常态,在漏洞发现效率上抢占先机。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容