Zcash Foundation 透過 Zebra 緊急升級修復 Orchard 漏洞

Zcash 基金會發布了 Zebra 4.5.3 和 Zebra 5.0.0，此前工程師在 Orchard Action 電路中發現並修復了一個關鍵的健全性錯誤。該基金會表示，Zebra 4.5.3 在主網區塊高度 3,363,426 啟動了緊急軟分叉，暫時拒絕包含 Orchard actions 的交易和區塊，同時工程師準備了修正後的電路。該軟分叉於 6 月 2 日約凌晨 2:00 UTC 上線，此前的一次協調嘗試遇到了補丁部署問題。該基金會指出，從 5 月 31 日開始，與礦工和交易所進行了私下協調，以減少在公開披露前被利用的機會。 Zebra 5.0.0 在主網區塊高度 3,364,600 啟動了 NU6.2 硬分叉。此次升級使用修正後的電路重新啟用了 Orchard actions，並將 Orchard 證明路由到了一個新的每個電路驗證金鑰。此次發布標誌著自 2016 年以來 Zcash 歷史上的第二次由安全驅動的協議升級。之所以需要硬分叉，是因為零知識證明電路的修復需要一個新的固定驗證金鑰。 “我們強烈敦促所有節點運營商盡快升級到 Zebra 5.0.0，”Zcash 基金會表示。該錯誤於 5 月 29 日由獨立安全研究員 Taylor Hornby 在為 Shielded Labs 進行協議審計時發現。ZODL 工程師 Daira-Emma Hopwood、Kris Nuttycombe 和 Jack Grigg 在數小時內確認了該問題並開始著手修復。 該基金會證實，該缺陷可能導致 Orchard 內部狀態發生無效更改，並可能在該池內發生雙重支出。然而，它強調 Zcash 的轉轍器機制保護了總體 ZEC 供應量，並表示：“沒有證據表明存在未經授權的價值創造。”受影響的代碼包括舊的 halo2_gadgets、orchard 和 zcash_primitives 版本，以及 zcashd 版本 5.0.0 至 6.12.3。 Orchard 是 Zcash 最新的隱私池，也是其隱私系統的核心部分。它於 2022 年隨 NU5 推出，並使用 Halo 2，消除了對受信任設置的需求。近期報告顯示，約有 30% 的 ZEC 供應量已轉入隱私池，其中 Orchard 持有 420 萬 ZEC，並佔據了最近的大部分增長。 該基金會表示，在此事件期間用戶隱私並未受到損害，Sapling 和透明交易繼續正常運行，而 Orchard actions 則保持暫停狀態。現在敦促節點運營商升級到 Zebra 5.0.0；留在 NU6.2 後錯誤分叉上的運營商可能需要從頭開始重新同步，或從激活前的備份中恢復。