四年。Zcash的Orchard Pool中存在一个漏洞,从2022年5月起一直隐藏至2026年6月初修复。据Shielded Labs官方披露,没有一枚ZEC被盗。然而在48小时内,ZEC价格跌去近一半,Arthur Hayes清仓了全部持仓,宣称他的「Holy Trinity」策略已告终结。
安全事件报告
Security Incident Report
协议
Zcash(Orchard屏蔽池)
被盗金额
$0(已确认)
类型
健全性缺陷,供应量不可验证
披露时间
2026年6月4至5日
攻击向量
Orchard电路中一个不充分的约束,理论上可允许在不留任何痕迹的情况下铸造伪造的ZEC。该漏洞自2022年5月的NU5升级起已存在,并在多次审计中幸存。
协议响应
紧急硬分叉NU6.2于2026年6月3日激活。未检测到任何盗窃行为。
来源:Shielded Labs官方披露
来源:Shielded Labs,官方披露
AI审计如何找到专家四年未发现的漏洞
换句话说,发现这一缺陷的是Taylor Hornby,一位于4月受雇于Shielded Labs专门进行协议审查的安全工程师。发现日期:2026年5月29日。使用的工具是一个基于AI辅助的审计框架,核心是Anthropic公司的Claude Opus 4.8模型,而该模型恰好在发现漏洞的前一天才刚刚发布。Orchard电路中一个缺失的约束,本可允许在池内进行双花,即创建出与合法代币无法区分的伪造代币。超过三年半的时间里,没有任何人工审计员发现这个问题。
这绝非小事。这是一个实际案例,印证了我们此前在分析AI代理时代DeFi安全性时所描述的范式转变:同样的AI模型,一方面加速了攻击,另一方面也能发现传统审计所遗漏的漏洞。Shielded Labs在披露中解释,该漏洞事后无法被证明已遭利用。
Orchard漏洞后,我的ZEC还安全吗?
坦诚的回答是:风险不在于整条链的通货膨胀,而在于池本身潜在的偿付能力问题。据CoinGecko数据,当前流通中约30%的ZEC(大约500万枚)存放在屏蔽地址中,其中大部分都经过Orchard。如果有人铸造了伪造代币,合法持有者的资产将被稀释。Grayscale首席法务官Craig Salm认为,在补丁发布之前漏洞被利用的可能性较低。但核心问题仍在于:与比特币或以太坊不同,链上的漏洞利用一旦发生便显而易见,而在这里,一次成功的攻击可能不会留下任何证据。永远不会。对于托管资产的用户而言,冷热钱包的区别和使用硬件钱包的重要性再次得到验证:第一道防线始于你自己。
据Arkham数据,一位大型投资者单次持仓损失超过1.74亿美元总仓位的一半以上。该投资者此前已六个月未曾卖出ZEC。
所有隐私币暴跌说明了什么
价格走势呈现两个阶段。硬分叉后,ZEC于6月4日反弹至624美元。随后Hayes出手清仓,抛售潮将其打压至310美元以下。BitMEX创始人兼Maelstrom首席投资官Hayes在X平台上解释了这一举动:他的「Holy Trinity」不对称押注策略(ZEC、HYPE和NEAR三者组合)已宣告失败。他在帖子中写道:「隐私对抗AI、政府和科技巨头,这要求做到完美无缺。」→ @CryptoHayes,2026年6月5日帖子。
ZEC近期价格走势(美元)
ZEC近期价格走势(美元)
来源:CoinGecko,BitMEX Research · 2026年6月5日
来源:CoinGecko,BitMEX Research · 2026年6月5日
隐私叙事曾是2025年最热门的主题之一,正如我们在报道隐私加密赛道十亿融资时所见。如今,赋予ZEC价值的那一属性,,不透明性,反过来成了它的致命弱点。这对Monero和所有承诺完全匿名的代币同样适用:如果你无法证明供应量是完整的,就必须依赖信任。而当下市场,信任极为稀缺。这并非该行业信任遭受的第一次打击,可参考2026年黑客攻击调查报告所记录的损失规模,以及Kelp DAO 2.92亿美元被盗案。
有一组数据值得关注。据CoinGecko数据,ZEC于2025年收涨约691%,成为隐私币中表现最佳的一个,并于11月7日触及744美元的高点。在高点入场的投资者,如今面对的是一张被钉在310美元以下的K线图。下一个关键确认不是价格层面,而是技术层面:开发团队需要说明Orchard是否曾真正遭到利用。在这个答案出炉之前,那40%的跌幅,是市场对一件隐私币最不能承受之物所给出的定价。怀疑本身。
