早间快讯：Claude发现Zcash重大漏洞，影响程度尚不明

《早间快讯》概述

《早间快讯》是由Tyler Warner撰写的每日通讯。文中分析和观点仅代表作者本人，并不一定反映Decrypt的立场。同时，请关注我们新的每日新闻节目，涵盖所有头条新闻，时长5分钟，可在Apple Pod或Spotify上下载。早安！今天的头条新闻：

关键漏洞的发现

5月29日，一位名为Taylor Hornby的安全研究员在Zcash的Orchard隐私池中发现了一个关键漏洞，该漏洞允许攻击者铸造无限量的假冒ZEC。Hornby受Zcash团队的委托进行此项工作，利用Anthropic的Claude Opus 4.8发现了这一漏洞。到6月1日，Zcash生态系统已部署紧急修复，解决了这一问题——但该漏洞在过去四年中一直存在。

漏洞的具体情况

漏洞的具体情况：Orchard池是Zcash最先进的隐私交易层，自2022年5月以来活跃，使用零知识证明来验证交易，而不透露金额或参与者。简单来说，漏洞在于：一个本应验证交易输入的特定检查实际上并未执行其看似要执行的规则。发现该漏洞的攻击者可以向该检查输入虚假数据，并使其通过——从而凭空生成ZEC，而ZK证明系统则将这一欺诈交易视为有效。

漏洞的影响与评估

Hornby在Opus 4.8的帮助下，编写了一个完整的工作利用程序。他在本地环境中进行了测试，结果显示：可以生成无限量、不可检测的假冒ZEC，与合法币难以区分。他立即将这一发现披露给ZODL，Zcash的协调开发机构，而不是在主网运行。

漏洞影响程度不明的原因：由于Orchard是一个隐私池，因此无法通过加密方式确定在2022年5月至2026年6月之间是否存在该漏洞的利用。使Orchard具有价值的隐私特性正是导致其被利用不可检测的原因。

现在，雇佣Hornby的团队表示，之前被利用的可能性不大。该漏洞在世界级密码学家的严格审查下逃过了多年，发现这一漏洞需要仅限于白帽研究人员的尖端AI工具，而修复窗口也非常狭窄。但他们明确表示，用户不应仅依赖他们的评估。

未来的计划与建议

接下来会发生什么：Shielded Labs正在提议进行网络升级，部署一个新的隐私池，并对所有来自Orchard池的币实施“闸机会计”。这将强制每个现有的Orchard币通过一个可验证的检查点，从而暴露任何假冒的供应。这需要广泛的社区治理支持和标准的Zcash网络升级流程。预计下周将发布详细提案。Shielded Labs还正式启动了一个项目，从头开始数学验证整个Orchard电路，并正在招聘安全负责人和密码学家。