本文来自微信公众号: 歪睿老哥 ,作者:歪睿老哥
如果有一个保险箱,里面装着你所有的钱。
有人告诉你,这个保险箱的锁理论上可以被无限次复制——不是被人撬开,而是用一种只有物理学家和数学家才能看懂的方式。
然后你问:”在过去四年里,有没有人偷偷复制过这个锁?”
保险箱的制造商看着你说:
“我没办法告诉你。因为保险箱本身的设计就是黑盒的。没有人能看到里面。包括我。”
这种”不知道”,比”被偷了”更让人睡不着觉。
故事是这样的。
2026年6月4日,Zcash——一个号称”绝对隐私”的加密货币——价格在48小时内从624美元跌到309美元。腰斩。
社交媒体上全是:
“Zcash被攻破了”
“Zcash要完了”的恐慌。
但真正有意思的不是这个价格数字。
是为什么一个”没被黑客攻破、没发生任何资金盗取”的币,能跌掉一半市值?
因为发现漏洞的人,不是黑客。
是一个安全研究员。
用AI找到的。而漏洞本身——是一种连数学家都无法证明”是否曾被利用”的数学不确定性。
这不是技术漏洞。
这是一个关于隐私的哲学困境。
先说背景。
Zcash诞生于2016年。它的核心卖点只有一个——隐私交易。
比特币的交易是公开的。
你转了100个比特币给谁,全网都能看到。
任何人可以追踪你的每一笔交易、分析你的资金流向、拼出你的消费习惯。
Zcash想做的是反过来的事——让你的交易”不可见”。
金额看不见、发送方看不见、接收方看不见。只有交易双方知道。
这听起来很美好。
但问题也在”隐私”这两个字里。
如果你什么都看不见,你怎么知道没人偷偷印了钱?
这是隐私公链最核心的矛盾。
我后面会聊。先说这次到底发生了什么。
5月29日深夜,一个叫Taylor Hornby的安全研究员发现了一个问题。
他之前被Zcash的屏蔽实验室(Shielded Labs)雇佣,对Zcash底层协议做红队审计。
Anthropic刚发布了Claude Opus 4.8——一个逻辑推理能力极强的AI模型。
他把Orchard隐私池的零知识电路代码输入给Claude,
然后,
24小时后,Claude精准定位了一个漏洞。
这个漏洞存在于Orchard隐私池的Halo 2零知识证明电路中。
它不是一个”代码写错了导致崩溃”的漏洞。
它是一个”约束不足”的漏洞。
翻译成人话:
Zcash的隐私交易需要用到一种叫”零知识证明”(Zero-Knowledge Proof,ZKP)的数学工具。
简单说,就是你向全网证明”我确实有这笔钱”,但不用告诉任何人”你有多少钱”。
在零知识电路里,每一个数学步骤都必须被严格约束——就像一道数学题,你必须一步步证明你的推导过程是合法的。
如果任何一个步骤没有被约束住,你就有可能在中间”偷跑”——塞进一个协议不允许的输入,让原本应该输出A的结果输出B。
Orchard电路里的这个漏洞,就是在一个椭圆曲线乘法芯片的循环中,有一个坐标约束被遗漏了。
这个遗漏意味着什么?
意味着一个恶意攻击者可以在不持有合法签名、不提供资产来源的情况下,构造出”合法”的零知识证明,凭空铸造无限量的ZEC。
无限假币。
你想想这个数字——不是1000个。不是100万个。
是无限。
但最恐怖的不是”能印无限假币”。
最恐怖的是——你无法证明过去四年里有没有人这么干过。
因为Zcash的Orchard池是零知识的。
所有交易——金额、地址、流向——全部被数学多项式致盲。
没有人能看到池子里发生了什么。
如果有人在2022年5月(Orchard刚激活的时候)就发现了这个漏洞,偷偷印了10亿个ZEC,然后在市场上慢慢抛售——你不可能从链上数据证明它发生过。
这就是所谓的”不可证伪的通胀”。
比特币如果出现假币,你扫描UTXO集合就能发现。
但Zcash的Orchard池——黑盒。
永远黑盒。
除非Zcash团队自己决定把盒子打开。
数学上的不确定性,比任何黑客攻击都可怕。
然后Arthur Hayes——BitMEX的创始人,整个加密圈最犀利的声音之一——在漏洞披露后几小时内直接清空了所有ZEC仓位。
他说了一句话,我觉得特别准:
“隐私叙事不容许半点瑕疵。”
你想想这个逻辑。
人们买比特币,买的是”总量2100万,绝对不可增发”。
这是一种信仰——基于数学的信仰。
人们买Zcash,买的是”隐私+同样2100万不可增发”。
这是一种叠加信仰——隐私不可侵犯,总量不可侵犯。
现在你的零知识证明电路出了漏洞。
理论上可以无限增发。
而你无法证明历史上有没有人这么干过。
对于买Zcash的人来说——如果历史上有人偷偷印了假币,那总供应量就不是2100万了。
你信仰的那个”绝对稀缺”——被一个数学家无法证伪的阴影笼罩了。
信仰的裂缝,比市场的裂缝更难补。
这件事真正暴露的,是整个隐私计算领域的阿喀琉斯之踵。
你想想看——隐私和审计,这两个东西天生就是矛盾的。
你越想要隐私,就越难审计。
你越想要可审计,就越需要牺牲隐私。
比特币选择了可审计——每笔交易公开透明,任何人都可以验证总供应量。
代价是——你的每一笔交易都被记录在案。
Zcash选择了隐私——通过零知识证明隐藏一切。代价是——你无法从链上验证任何事。
这是一个没有正确答案的选择题。
而Orchard漏洞之所以引发这么大的恐慌,不是因为漏洞本身(实际上很可能没人利用它)。
是因为这个漏洞把”隐私和审计不可兼得”这个矛盾,用最极端的方式撕开了。
如果连Zcash——这个在隐私技术上最激进、投入最多的项目——都无法证明自己的总供应量是完整的,那整个加密世界还有什么可信任的?
Zcash团队没有陷入”否认一切”的防御姿态。
他们做了一个非常有趣的事
承认不确定性,然后用链上行为来消灭不确定性。
具体怎么做的?
他们提出了一个叫”Ironwood”的网络升级方案。核心逻辑是——强制迁移+旋转门过滤。
简单来说:
第一步:把旧的Orchard池变成”仅提取”模式。没人能再往里存钱,也没人在里面做任何交易。
第二步:新建一个经过形式化验证的、无漏洞的新隐私池(Ironwood池)。
第三步:用户如果想继续用隐私功能,必须把旧Orchard池里的钱提出来,通过一个”旋转门”机制,转移到新的Ironwood池。
这个”旋转门”是关键。
为什么?
因为旋转门会精确计量从旧池流出的代币总量。
如果历史上有人通过漏洞伪造了假币——
选择A:不迁移。假币留在旧池,随着旧池逐步荒废,假币自动失去流动性,被物理隔离。
选择B:尝试迁移。一旦假币持有者试图跨越旋转门,由于转出总额超过了历史合规存入的上限,节点会自动拦截并拒绝,同时在链上留下”有人试图转移假币”的公开证据。
无论哪种选择,当迁移周期结束时——Zcash可以向全世界提供一份100%确定的总供应量证明。
没有黑盒,没有残留。
这个方案特别有意思的地方在于——它不试图”证明过去没发生过什么”。它接受”过去可能发生过什么”这个不确定性,然后用一个确定性的链上行为来消灭未来发生的可能性。
与其纠结无法回答的问题,不如设计一个让问题自己消失的机制。
但是效果如何,还要再观后效。
再说一个细节,我觉得特别值得留意——AI在这一整个事件中扮演的角色。
Taylor Hornby用的不是传统的人工审计。
他用了Claude Opus 4.8——一个前沿AI模型——输入了Orchard的零知识电路代码,然后AI找到了一个人类审计了四轮都没发现的漏洞。
这听起来像是AI在攻击。
但反过来说——如果白帽安全研究员能比黑帽黑客更早地发现并利用AI找到漏洞,那AI就不是攻击工具,而是防御工具。
此前DeFi安全界的主流观点是”AI强化攻击者”——因为攻击者可以在海量代码中找一个漏洞,成本极低。而防御者需要审计所有代码,成本极高。
Zcash这次给出了一个反向论证——如果防御方也用了AI,攻防天平可能被重新平衡。
Taylor Hornby在修复Orchard漏洞后宣布,他要把这套AI辅助审计框架输出到Monero(门罗币)等其他隐私资产。
AI不仅找到了Zcash的漏洞。它可能正在成为整个隐私赛道的”免疫系统”。
说真的,看Zcash这件事的时候,我脑子里一直在想一个问题——
我们到底在追求什么?
比特币追求的是”无需信任”——你不需要信任任何人,因为数学保证了系统的可信。
Zcash追求的是”绝对隐私”——你不需要向世界展示你的财务,因为数学可以隐藏一切。
但这次事件暴露了一个更根本的问题——
如果你追求”绝对”,你就放弃了”可验证”。
而当你放弃可验证之后,你就只能选择”信仰”。
信仰谁的数学?
信仰谁的设计?
信仰谁在发现漏洞后会如实报告而不是悄悄利用?
这不是技术问题。
这是人性问题。