加密侦探 ZachXBT，以揭露区块链世界的骗局和 rug pull 著称，刚发了一条对使用隐私工具的人（尤其是交易 meme coin 的人）必读的长文。在他最新的 X 帖子中，他剖析了自己在测试 Zashi 时发现的一个隐私漏洞。Zashi 因其对 Zcash（ZEC）这种注重隐私的加密货币的用户友好做法而受到关注。下面我们来看看他发现了什么，以及这对 meme 代币圈意味着什么。

测试隐私工具：ZachXBT 的方法

ZachXBT 不只是揭露坏人；他还会推动隐私产品的极限，看看它们在哪些地方会失效。这次他聚焦于 Zashi 对 Near Intents 的集成——这个功能让用户在跨链桥接资产的同时保持隐私，也就是让你的交易在区块链上不被旁观者看到。

他先通过 Near Intents 把 1 SOL 从 Solana 桥接到 Zcash，然后进行了 shielding。这里的 shielding 指的是把透明（公开）ZEC 转换为 shielded（私密）ZEC，这是 Zcash 在匿名性上的重要卖点。

来自 Solana 的源交易哈希是 3R82PEDc1WsvQHbEaEph5igAbfvunWjg3ErpjrAvQ5rzkhcqRkhp9MKocKXMNLAwTNrW2rrP3cicywb2HFcBMxF4。Zcash 端的目的地是 7b7af9aaebf9270bd1f2dafe64beb5dab43ffd178b909e5bbbfc0284d759af26。

Crosspay 功能与退款故障

情况在 ZachXBT 试图用他的 shielded ZEC 为一个 Ethereum 地址匿名充值时变得有趣。他通过 Near Intents 使用 Zashi 的 "Crosspay" 功能交换了 0.005 ETH，资金到达了 0x6dda3649f19191a9df465f4010019f2f59c34bc4。

交换完成，但问题是：有 0.001598 ZEC 的退款返回到了他原来的透明地址（t-address）。这就在他的 shielded 资金和公开地址之间创建了直接联系，基本上破坏了隐私保护。

退款交易是 cf1d5ac83394ed21dd43f123b37e94826b46cd524d045e94165f81a774153953。涉及的 Near Intents Zcash 地址为：t1Ku2KLyndDPsR32jwnrTMd3yvi9tfFP8ML。

通过比对 Near Intents 地址的时间和金额，任何人都能发现这些退款并追溯到你的初始 shielding 地址。因为 t-address 是静态的（不会改变），这就是一个重大的隐私泄露。

Zashi 的回应与临时修复

ZachXBT 已联系 Zashi 团队，团队确认正在处理。计划包括添加 ephemeral addresses（临时地址，会轮换以增强隐私），并最终通过 Near Intents 将这些退款也进行 shielding。

在此期间，他的建议是：如果你用 shielded ZEC 做 Crosspay 转账，最好在不同设备上使用多个 seed phrases。这样可以避免把所有操作都关联回同一个钱包。

总体上，他认可 Zashi 的 UI/UX 做得很顺手，表示这解决了他对 Monero（另一个隐私币重量级项目）的一些抱怨。

这对 Meme Coin 交易者为何重要

在 meme 代币那个瞬息万变的世界里，涨涨跌跌一瞬即逝，保持链上 opsec（操作安全）非常关键。诈骗者和黑客无处不在，像 Zashi 这样的工具本可以让资金匿名移动而不留痕迹。但这个漏洞表明，即便是初衷良好的隐私技术也会有薄弱环节。

ZachXBT 的帖子是一个警钟：不要以为你的 shielded 资金刀枪不入。对于经常在链间转移波动资产的 meme coin 爱好者来说，掌握这些细节可以防止被人肉或遭受定向攻击。

展望未来：更多的 opsec 建议与服务

总结时，ZachXBT 询问大家是否想要更多关于维护链上 opsec 的内容。他甚至在考虑为个人交易者或小型基金提供咨询服务，帮助他们匿名化活动，从而降低在区块链上被指纹识别的风险。

他说明得很清楚：不欢迎恶意行为者；他对这些人有第六感。尽管他担心坏人会滥用这些信息，但他也对业界在隐私问题和对受害者支持方面的缓慢反应感到沮丧。

如果你在交易 meme coin 想提升隐私保护，查看一下 原始的 X 帖子。在这片加密丛林里，知识是你最好的防护。