区块链调查员 ZachXBT 发现 Zashi 钱包与跨链交易协议 NEAR Intents 集成存在隐私漏洞。这位dent 研究员周二在 X 论坛发帖称,他在调查欺诈行为的过程中测试了该系统,以寻找“可被利用的设计缺陷”。.
Zashi 是由 Electric Coin Co. 开发的自托管加密钱包,该公司也是 Zcash (ZEC) 背后的团队,Zcash (ZEC) 是一种于 2016 年推出的注重隐私的加密货币。该钱包允许用户发送、接收和使用 ZEC,同时使其财务活动对中介机构、公司或政府监控保持隐蔽。.
ZachXBT 写道 ,由于“最近的热潮”,他测试了 Zashi 与 NEAR Intents 的集成,想知道它是否能保持 Zcash 用户期望从受保护的交易中获得的相同程度的匿名性。
调查人员dent将 SOL 迁移到 Zcash存在隐私漏洞
在实验中,ZachXBT 使用 NEAR Intents 将 1 个 SOL 从 Solana 接到 Zcash 钱包。在确认了源交易和目标交易后,他采取了隐私保护措施。.
然后,这位区块链安全侦探利用 Zashi 的“CrossPay”功能(该功能允许用户花费受保护的 ZEC 并发送等值的另一种加密货币),向 Ethereum 地址充值了 0.005 ETH。.
3/ 现在假设我想用我加密的 ZEC 从我的 Zashi 钱包匿名充值到一个 ETH 地址,所以我使用 Near Intents 的“Crosspay”功能向以下地址接收 0.005 ETH:
— ZachXBT (@zachxbt) 2025年10月21日
0x6dda3649f19191a9df465f4010019f2f59c34bc4 pic.twitter.com/5cMDG83MN9
虽然主转账在几分钟后完成,但 ZachXBT 发现一笔 0.001598 ZEC 的意外退款交易被发送到了他最初用来隐藏资金的同一个透明地址。.
据一位备受关注的加密货币安全调查员称,matic 退款在他的受保护地址和非受保护地址之间建立了一个明显的联系,破坏了 Zcash的受保护系统旨在保护的隐私。.
退款交易在 Zcash 区块链上是公开 trac的,任何人都可以据此将 NEAR Intents 系统和退款本身的时间和金额进行匹配。.
ZachXBT 推测道:“有人可以简单地将近意向地址中的时间和金额进行匹配,从而dent出 ZEC 退款交易,这使得有人能够揭穿你最初为了保护 ZEC 而隐藏的 t 地址,因为它是静态的,而退款信息并没有被隐藏。”.
Zashi钱包承诺将通过更新解决 trac问题。
Web3 安全研究人员指出,该漏洞源于 NEAR Intents 处理跨链交易退款的方式。在他的示例中,NEAR Intents 使用的 Zcash 地址是公开可见的,这意味着退款交易是在透明的环境下处理的,而不是在 Zcash的加密资金池中进行的。.
由于 Zashi 的集成使用了同一个透明地址进行退款,因此链上分析师很容易看出其中的关联。.
ZachXBT 在dent该缺陷后表示,他联系了 Zashi 开发团队,该团队承认了该问题,并确认了引入临时地址的计划。.
如果更新按预期实施,这些临时钱包地址将在每次交易后消失,以降低 trac性。他们还告诉他,受保护的退款功能将在未来的更新中纳入 NEAR Intents。.
尽管存在缺陷,ZachXBT 仍将 Zashi 称为“enj愉悦的隐私钱包体验”,并指出它修复了他在使用另一种 隐私币。
“我正在考虑为希望匿名进行交易的个人交易者或精品基金提供服务,”他说道,并补充说,有兴趣的各方可以直接与他联系进行合作。.
当一位粉丝告诉他,他的想法类似于网络安全顾问受雇入侵安全系统以dent弱点的做法时,ZachXBT 表示同意。.
NEAR Intents协议历史交易量达到20亿美元
显示,NEAR Intents 的用户活跃度和交易量正在上升,目前已超过 20 亿美元 数据 Dune Analytics 的
基于意图的系统上的每日区块链交易量按月增长了 379%,自 9 月 21 日以来,用户数量已超过 457,000 人。.
NEAR Intents 是一种多链交易协议,它通过基于意图的机制自动执行跨链操作。用户或代表他们行事的 AI 代理无需手动桥接或交换代币,只需广播其期望的结果,例如将一种代币兑换成另一种代币。.
过去24小时内,用户完成了价值6500万美元的代币交易,其中ZEC占总额的10%。该钱包目前支持两项已上线功能:Zashi Swaps和CrossPay,这两项功能于本月初正式推出。.
