Zcash基金會發布了Zebra 4.5.3和Zebra 5.0.0,此前工程師發現並修復了Orchard行動電路中的一個關鍵健全性漏洞。
該基金會表示,Zebra 4.5.3在主網區塊高度3,363,426啟動了緊急軟分叉。該版本暫時拒絕了包含Orchard行動的交易和區塊,同時工程師準備了已修正的電路。
該軟分叉於6月2日世界協調時間約02:00上線,此前一項協調嘗試面臨補丁部署問題。該基金會表示,與礦工和交易所的私下協調於5月31日開始,以減少在公開披露前漏洞被利用的機會。
Zebra 5.0.0在主網區塊高度3,364,600啟動了NU6.2硬分叉。此次升級透過修正後的電路重新啟用了Orchard行動,並將Orchard證明路由到一個新的基於電路的驗證金鑰。此次發布也標誌著Zcash自2016年以來第二次由安全驅動的協議升級。
之所以需要硬分叉,是因為零知識證明電路的修復需要一個新的固定驗證金鑰。
「我們強烈敦促所有節點運營商盡快升級到Zebra 5.0.0,」Zcash基金會表示。
該漏洞於5月29日由獨立安全研究員Taylor Hornby在為Shielded Labs進行協議審計時發現。ZODL工程師Daira-Emma Hopwood、Kris Nuttycombe和Jack Grigg在數小時內確認了該問題,並開始著手修復。
該基金會表示,該缺陷可能導致Orchard內部出現無效的狀態變更,並可能在該池中進行雙重支付。它還表示,Zcash的轉門機制保護了ZEC的總供應量,並且「沒有證據表明未經授權的價值創造」。受影響的代碼包括舊版halo2_gadgets、orchard和zcash_primitives版本,以及zcashd 5.0.0至6.12.3版本。
Orchard是Zcash最新的隱私池,也是其隱私系統的核心部分。它隨NU5於2022年推出,並使用Halo 2,消除了對信任設置的需求。這種設計使Orchard成為Zcash當前隱私路線圖的關鍵部分。
相關市場報導最近集中在不斷增長的Zcash隱私使用上。一份最新報告稱,約30%的ZEC供應量已轉移到隱私池中,其中Orchard持有420萬ZEC,佔最近增長的大部分。
該基金會表示,在事件期間用戶隱私未受損害。Sapling和透明交易也繼續正常運作,而Orchard行動保持暫停。
節點運營商現在面臨的主要任務是升級到Zebra 5.0.0,而不是依賴舊版本。在NU6.2之後停留在錯誤分叉上的運營商可能需要從頭開始重新同步,或者從激活前製作的備份中恢復。
