ZachXBT 指出 Zashi 钱包的 NEAR Intents 集成存在隐私漏洞

区块链调查员 ZachXBT 发现 Zashi 钱包与跨链交易协议 NEAR Intents 集成存在隐私漏洞。这位dent 研究员周二在 X 论坛发帖称，他在调查欺诈行为的过程中测试了该系统，以寻找“可被利用的设计缺陷”。.

Zashi 是由 Electric Coin Co. 开发的自托管加密钱包，该公司也是 Zcash (ZEC) 背后的团队，Zcash (ZEC) 是一种于 2016 年推出的注重隐私的加密货币。该钱包允许用户发送、接收和使用 ZEC，同时使其财务活动对中介机构、公司或政府监控保持隐蔽。.

ZachXBT 写道 ，由于“最近的热潮”，他测试了 Zashi 与 NEAR Intents 的集成，想知道它是否能保持 Zcash 用户期望从受保护的交易中获得的相同程度的匿名性。

调查人员dent将 SOL 迁移到 Zcash存在隐私漏洞

在实验中，ZachXBT 使用 NEAR Intents 将 1 个 SOL 从 Solana 接到 Zcash 钱包。在确认了源交易和目标交易后，他采取了隐私保护措施。. 

然后，这位区块链安全侦探利用 Zashi 的“CrossPay”功能（该功能允许用户花费受保护的 ZEC 并发送等值的另一种加密货币），向 Ethereum 地址充值了 0.005 ETH。.

3/ 现在假设我想用我加密的 ZEC 从我的 Zashi 钱包匿名充值到一个 ETH 地址，所以我使用 Near Intents 的“Crosspay”功能向以下地址接收 0.005 ETH：

0x6dda3649f19191a9df465f4010019f2f59c34bc4 pic.twitter.com/5cMDG83MN9

— ZachXBT (@zachxbt) 2025年10月21日

虽然主转账在几分钟后完成，但 ZachXBT 发现一笔 0.001598 ZEC 的意外退款交易被发送到了他最初用来隐藏资金的同一个透明地址。. 

据一位备受关注的加密货币安全调查员称，matic 退款在他的受保护地址和非受保护地址之间建立了一个明显的联系，破坏了 Zcash的受保护系统旨在保护的隐私。.

退款交易在 Zcash 区块链上是公开 trac的，任何人都可以据此将 NEAR Intents 系统和退款本身的时间和金额进行匹配。. 

ZachXBT 推测道：“有人可以简单地将近意向地址中的时间和金额进行匹配，从而dent出 ZEC 退款交易，这使得有人能够揭穿你最初为了保护 ZEC 而隐藏的 t 地址，因为它是静态的，而退款信息并没有被隐藏。”.

Zashi钱包承诺将通过更新解决 trac问题。

Web3 安全研究人员指出，该漏洞源于 NEAR Intents 处理跨链交易退款的方式。在他的示例中，NEAR Intents 使用的 Zcash 地址是公开可见的，这意味着退款交易是在透明的环境下处理的，而不是在 Zcash的加密资金池中进行的。. 

由于 Zashi 的集成使用了同一个透明地址进行退款，因此链上分析师很容易看出其中的关联。.

ZachXBT 在dent该缺陷后表示，他联系了 Zashi 开发团队，该团队承认了该问题，并确认了引入临时地址的计划。. 

如果更新按预期实施，这些临时钱包地址将在每次交易后消失，以降低 trac性。他们还告诉他，受保护的退款功能将在未来的更新中纳入 NEAR Intents。.

尽管存在缺陷，ZachXBT 仍将 Zashi 称为“enj愉悦的隐私钱包体验”，并指出它修复了他在使用另一种 隐私币。 

“我正在考虑为希望匿名进行交易的个人交易者或精品基金提供服务，”他说道，并补充说，有兴趣的各方可以直接与他联系进行合作。.

当一位粉丝告诉他，他的想法类似于网络安全顾问受雇入侵安全系统以dent弱点的做法时，ZachXBT 表示同意。. 

NEAR Intents协议历史交易量达到20亿美元

根据Dune Analytics 的数据显示，NEAR Intents 的用户活跃度和交易量正在上升，目前已超过 20 亿美元。

基于意图的系统上的每日区块链交易量按月增长了 379%，自 9 月 21 日以来，用户数量已超过 457,000 人。. 

NEAR Intents 是一种多链交易协议，它通过基于意图的机制自动执行跨链操作。用户或代表他们行事的 AI 代理无需手动桥接或交换代币，只需广播其期望的结果，例如将一种代币兑换成另一种代币。.

过去24小时内，用户完成了价值6500万美元的代币交易，其中ZEC占总额的10%。该钱包目前支持两项已上线功能：Zashi Swaps和CrossPay，这两项功能于本月初正式推出。.