高危漏洞曝光：攻击者可无限伪造ZEC代币

5月29日，安全研究员Taylor Hornby发现了一个足以动摇Zcash Orchard隐私池根基的高危漏洞。

攻击者可以在其中悄无声息地伪造代币，而且想造多少就造多少。

欧意 www.okx.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

币安 www.binance.com 若打不开请 点击跳转 下载请点击 [→] 官方app下载 [←]

五天极速响应：从发现到封堵

Hornby第一时间将漏洞报告提交给了Zcash开源开发实验室（ZODL）。

实验室随即启动了全生态应急响应，协调各方力量进行修复。

整个修复工作于6月2日完成。换句话说，从发现到封堵，前后只用了不到五天时间。

漏洞一旦利用：无限增发且无法察觉

事后，Shielded Labs在仔细审阅漏洞报告并内部评估影响后，补充了一段关键背景说明：

这个漏洞一旦被利用，攻击者就能在Orchard隐私池里隐秘增发无限量的伪造ZEC代币，而且整个过程完全无法被外界察觉。

更棘手的问题

Orchard自带的隐私加密特性，让漏洞修复前无法通过密码学手段验证是否已经有人动过手脚。

项目方的应对方案

不过，项目方也不是完全没有办法——他们可以通过一次网络升级，既保护用户资产，又能核验ZEC代币总发行量的真实性。

这才是整个事件中真正值得关注的核心。