Zcash corrige falhas críticas enquanto os hacks de criptomoedas atingem $651M num mês

Hoje, 2 de maio de 2026, a Zcash Foundation lançou o Zebra 4.4.0, apelando a todos os operadores de nós para que atualizem imediatamente, após a correção de múltiplas falhas de segurança, incluindo algumas que poderiam ter dividido o consenso da rede.

A atualização surge no momento em que abril se fecha como o pior mês em exploits de criptomoeda até agora. A empresa de segurança blockchain CertiK confirmou cerca de 651 milhões de dólares em perdas totais no setor.

Que tipo de falhas do Zcash o Zebra 4.4.0 corrige?

A atualização resolve cinco vulnerabilidades distintas no Zebra, a implementação de nós Zcash baseada em Rust desenvolvida pela Zcash Foundation. Três dos erros são críticos para o consenso, o que significa que os atacantes poderiam tê-los explorado e levado os nós Zebra a aceitar transações que os clientes zcashd legados rejeitariam, dividindo assim a rede.

A falha mais grave (GHSA-28xj-328h-72vm) permitia que um hacker remoto impedisse permanentemente um nó de descobrir novos blocos com apenas uma ligação. O ataque combinava três pontos fracos na forma como o Zebra partilhava e descarregava informação. 

De acordo com o aviso da Zcash Foundation, o exploit "não produziu qualquer pontuação de mau comportamento, nenhum bloqueio e nenhuma desconexão", tornando-o invisível para as ferramentas de monitorização padrão.

Um segundo erro (GHSA-jv4h-j224-23cc) também fez com que o Zebra perdesse a contagem do número de assinaturas dentro de um bloco de transações (normalmente contaria menos do que o limite de 20 000 sigops por bloco).

Ao que parece, o sistema do Zebra ignorava dois tipos específicos de scripts (o scriptSig da entrada Coinbase e as assinaturas P2SH) durante a validação de blocos. Por causa disso, um atacante poderia criar um bloco que explorasse ambas as lacunas, passando nas verificações do Zebra mas falhando no zcashd e criando uma divisão da cadeia.

A terceira grande falha (GHSA-gq4h-3grw-2rhv) ocorreu devido a uma correção anterior de sighash que deixou dados obsoletos numa área de armazenamento temporário (buffer) legível através da interface de função externa C++ do Zebra. 

Desta forma, um atacante poderia explorar isto utilizando uma assinatura válida para preencher o buffer com informação correta, e depois enviar uma segunda transação com um tipo de hash inválido que passaria a verificação com base nos dados remanescentes. 

Para resolver isto, a Foundation aplicou uma correção temporária que dispersa o buffer com bytes aleatórios caso uma verificação falhe, impedindo assim o sistema de reutilizar informação antiga até que uma correção permanente seja implementada.

Os dois últimos erros causaram discrepâncias entre outras partes do sistema. Um erro sobrecarregou a rede ao fazer com que esta utilizasse demasiada memória ao ler mensagens (GHSA-438q-jx8f-cccv). O outro era uma pequena discrepância de código na forma como o Zebra verificava certas transações (GHSA-cwfq-rfcr-8hmp).

A Foundation observou que este último não era praticamente explorável, mas ainda assim procedeu à sua correção para corresponder ao comportamento do zcashd. O investigador de segurança Sangsoo-osec foi creditado pela descoberta de três das cinco falhas.

Poderia o lançamento ter chegado em melhor altura?

De acordo com a DeFiLlama, abril de 2026 foi o mês com mais ataques na história das criptomoedas (pelo número de incidentes), tendo sofrido entre 28 a 30 ataques distintos. A publicação no X da CertiK a 30 de abril indicou perdas totais de aproximadamente 651 milhões de dólares, o valor mais elevado desde março de 2022, excluindo a violação da Bybit em fevereiro de 2025.

Dois incidentes foram responsáveis pela maior parte dos danos. A 1 de abril, o Drift Protocol perdeu cerca de 285 milhões de dólares numa operação de engenharia social ligada ao Grupo Lazarus da Coreia do Norte. Até 18 de abril, a KelpDAO sofreu o seu próprio exploit de falsificação de mensagens no valor de 293 milhões de dólares, visando uma bridge cross-chain LayerZero, de acordo com a Cryptopolitan. 

De notar que nenhum dos exploits de abril visou diretamente o Zcash. Mas o enorme volume de ataques em várias cadeias reflete o motivo pelo qual a sua Foundation optou por classificar a atualização do Zebra como "crítica" e promover a sua adoção imediata.

O que devem fazer os operadores de nós Zcash

A Foundation aconselha todos os operadores a atualizarem para o Zebra 4.4.0 imediatamente, uma vez que a versão não introduz outras alterações significativas além das correções de segurança. 

Os operadores de nós que executam versões mais antigas continuam expostos a todas as cinco vulnerabilidades, incluindo a interrupção da descoberta de blocos que requer apenas uma única ligação maliciosa para ser executada.

O ZEC era negociado a $377,46 no momento da redação, de acordo com o CoinMarketCap, com uma capitalização de mercado de 6,28 mil milhões de dólares.

Se pretende uma entrada mais tranquila no mundo das criptomoedas DeFi sem a habitual agitação, comece com este vídeo gratuito.