北京时间 6 月 5 日，隐私保护公链 Zcash 遭遇重大安全危机，其新一代隐私保护机制 Orchard 被曝存在严重伪造漏洞。受此消息冲击，Zcash 代币 ZEC 价格应声暴跌，跌幅接近 50%，最低触及 250 美元关口。面对市场恐慌，Zcash 创始人 Zooko Wilcox 于当日发布长文，针对市场最关切的四大核心问题进行了深度回应。他明确表示，Orchard 漏洞此前极大概率尚未被恶意利用，合法资金具备可追回性；虽然当前用户尚无法独立验证总供应量是否超标，但即将实施的 Ironwood 升级将彻底锁定 Orchard 机制，从而恢复这一关键的验证功能。尽管目前的审查尚未发现其他伪造漏洞，但要完全排除隐患仍需进一步的技术确认。

此次漏洞引发了关于 Zcash 总供应量真实性及用户资金安全的广泛担忧。由于涉及复杂的密码学机制，普通用户难以准确评估实际影响。Zooko Wilcox 在文中将问题拆解为四个维度：漏洞是否已被利用、合法资金能否追回、供应量是否可验证以及是否存在其他漏洞。关于漏洞利用情况，团队认为过去被利用的可能性较低。午方 AI 注意到，这一判断基于三个核心逻辑：多年来全球顶尖密码学家持续监控却未曾发现；该漏洞是由 Shielded Labs 的 Taylor Hornby 利用先进的人工智能辅助安全分析技术主动挖掘，旨在抢在恶意分子之前封堵；且该漏洞隐蔽性极高，非专业人士极难察觉。

此外，若漏洞已被利用，攻击者通常会在修复前迅速将伪造的 ZEC 变现，但截至目前并未观察到此类资金流出的证据。

在资金追回方面，团队指出若漏洞未被利用，所有合法 Orchard 资金均可完全追回。即便存在伪造资金，现有机制也确保只有合法进入池中的 ZEC 才能转出，但若伪造资金先于合法资金转移，用户可能面临部分损失。出于谨慎考虑，官方建议用户将资金移出 Orchard 池，可选择转移至透明矿池或 Sapling 池。午方 AI 梳理发现，转移至透明矿池虽会公开转账金额与时间，但不会关联特定地址；转移至 Sapling 池则能保留一定隐私，但其安全性依赖于 2018 年的可信设置仪式，且目前仅有 YWallet 和 Zkool 等少数钱包支持。用户需权衡操作风险与潜在的安全隐患，自行做出判断。

针对供应量验证这一核心痛点，Ironwood 升级将成为关键转折点。目前因漏洞存在，用户无法独立确认 Orchard 池中的 ZEC 数量是否准确。Ironwood 升级将通过封闭 Orchard 池，禁止新资金进入及池内资金继续流通，仅保留通过现有机制退出的途径。这一设计确保了流出池的 ZEC 数量绝不会超过合法进入的数量，从而从协议层面杜绝了总供应量被夸大的可能。无论此前是否存在伪造资金，升级后任何运行节点的用户均可直接验证池中 ZEC 数量的真实性，无需依赖第三方评估或猜测攻击者意图，这将重塑 Zcash 的长期信誉。

关于是否存在其他未公开漏洞，团队表示虽不能完全确定，但信心正在增强。Shielded Labs 联合多个团队，包括与 Anthropic 在 Mythos 项目暂停前的合作，利用未发布的 AI 模型对协议进行了深度审查。午方 AI 分析认为，鉴于投入的专业力量及先进的 AI 分析技术，截至目前未发现其他伪造漏洞。团队正与 Tachyon Project 等机构进一步合作以确证安全性，并计划在未来披露更多审查细节。综合来看，Zcash 团队认为当前总供应量安全，合法资金可追回，且无其他已知漏洞，但用户独立验证能力的恢复仍需等待 Ironwood 升级的正式落地。