Zcash暴跌50%,安全漏洞誰的鍋 ?
三句話摘要
Anthropic Opus 4.8 AI agent 發現 Zcash 隱私鏈「無限鑄幣」漏洞,引發幣價暴跌 50%,但真正的衝擊是 AI 已能做到密碼學家花數週也找不到的資安審計。 --- Zcash 事件的真正教訓不是幣價,而是 AI 已能發現人類密碼學家數年都找不到的致命漏洞,代碼安全審計從此必須納入 AI 這一關。 暴跌原因是恐慌,非攻擊:這個漏洞是 Zcash 委託的資安研究員主動挖掘發現的,並未被任何惡意者利用,幣價崩跌完全源於消息公開後散戶誤判情勢而恐慌賣出。
重點整理
重點- 1
暴跌原因是恐慌,非攻擊:這個漏洞是 Zcash 委託的資安研究員主動挖掘發現的,並未被任何惡意者利用,幣價崩跌完全源於消息公開後散戶誤判情勢而恐慌賣出。
- 2
漏洞性質極度危險:因 Zcash 是隱私鏈,所有交易不可見,此漏洞允許攻擊者無限憑空印出 Zcash 並套現,且事後無法被察覺或證明是否已遭濫用,理論上可直接讓幣歸零。
- 3
AI 超越人類密碼學家:漏洞自 2022 年存在,Zcash 長期投入密碼學團隊定期做資安審查卻未發現,但 Opus 4.8 agent 一次掃描便找出,顯示 AI 在代碼審計上已出現質的突破。
- 4
行業啟示:AI 審計將成標配:此事引發業界討論,未來區塊鏈項目的代碼審計流程應強制納入 AI 審查,因為人類看不到的細節漏洞,AI 現在確實看得到。
- 5
--
實用技巧與重點
乾貨- 幣價跌幅:兩天內 -50%
- 發現工具:Anthropic Claude Opus 4.8 + Taylor 的 Zcash full-stack security agent framework
- 漏洞位置:ULTRA circuit(Zcash 隱私池)的橢圓曲線乘法(elliptic curve multiplication)兩行代碼
- 漏洞類型:missing constraint bug,交易證明驗證未被啟用
- 漏洞影響:可無限且不可檢測地在 ULTRA pool 中憑空鑄造 Zcash(undetectable unbounded inflation)
- 漏洞存在時間:自 2022 年起
- 當前狀態:已修復,未被實際利用
- Taylor 提交報告標記:「Confidential until embargo lifted」
- 人工查找難度:密碼學家需花費數週、刻意針對性挖掘才有可能發現
- --
結論
結論“Zcash 事件的真正教訓不是幣價,而是 AI 已能發現人類密碼學家數年都找不到的致命漏洞,代碼安全審計從此必須納入 AI 這一關。”
完整解析
詳細這次事件的起點是 Zcash 幣價在短短兩天內暴跌 50%,消息來源指向 Anthropic 最新模型 Opus 4.8 找到了一個可以無限鑄幣的嚴重漏洞,因此許多人第一反應是「Zcash 被駭客攻擊導致崩盤」。然而這個理解是錯誤的。漏洞是由 Zcash 團隊主動委聘的資安研究員 Taylor 發現的,他的工作本就是替 Zcash 進行主動式滲透測試,找到問題就修復。沒有任何外部攻擊者利用這個漏洞,幣價崩跌純粹是消息曝光後散戶恐慌性拋售所致。
漏洞本身的技術細節相當嚴峻。Zcash 作為隱私鏈,所有交易內容對外完全不透明,交易的合法性依賴密碼學的零知識證明機制,而其核心正是兩行橢圓曲線乘法代碼。工程師在撰寫這段代碼時遺漏了必要的約束條件,導致交易的合法性驗證實際上從未被啟動。這意味著任何人都可以在 Zcash 的 ULTRA 隱私池中憑空發起不存在的交易、印出任意數量的 Zcash 並轉出套現,而且由於是隱私鏈,整個過程無法被追蹤,甚至事後也無法證明是否曾遭到濫用。理論上,若此漏洞被惡意利用,Zcash 可以直接歸零。目前此漏洞已確認修復,且 Taylor 的報告在解除保密前一直以機密文件形式存放。
這件事在社群中引發了兩種截然不同的反應。第一派認為,一個如此致命的漏洞從 2022 年就存在,多年來 Zcash 自己的密碼學團隊一直未能發現,這本身就是重大的信任危機,更可怕的是即便已遭利用也無從查證。第二派則來自較了解底層密碼學的工程師,他們指出此類漏洞極度隱蔽,即使刻意針對性搜尋,人類密碼學家也需花費數週時間才有機會找到,Zcash 長期持續做資安審查卻仍未發現並不奇怪,反而更值得關注的是:AI 做到了人類做不到的事。
主持人認為兩派說法都有其道理,而他個人覺得最震撼的並非 Zcash 本身的問題,而是 AI 在代碼審計層面已展現出超越頂尖密碼學家的能力。這次事件很可能成為一個轉捩點,未來區塊鏈項目、乃至所有高風險軟體的安全審計流程,都將必須引入 AI 作為標準環節,因為人類肉眼不可見的細節漏洞,AI 現在確實已經看得到了。
---
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
