Zcash remediază vulnerabilități critice în timp ce hackurile crypto ating 651 milioane de dolari într-o lună

Astăzi, 2 mai 2026, Fundația Zcash tocmai a lansat Zebra 4.4.0, îndemnând toți operatorii de noduri să facă upgrade imediat, după remedierea mai multor vulnerabilități de securitate, inclusiv a unora care ar fi putut fragmenta consensul rețelei.

Patch-ul vine în contextul în care aprilie se încheie ca cea mai proastă lună pentru exploatările crypto de până acum. Firma de securitate blockchain CertiK a confirmat pierderi totale de aproximativ 651 de milioane de dolari în întreaga industrie.

Ce fel de vulnerabilități Zcash remediază Zebra 4.4.0?

Actualizarea rezolvă cinci vulnerabilități separate în Zebra, implementarea nodului Zcash bazată pe Rust, construită de Fundația Zcash. Trei dintre erori sunt critice pentru consens, ceea ce înseamnă că atacatorii le-ar fi putut exploata și ar fi putut determina nodurile Zebra să accepte tranzacții pe care clienții zcashd moșteniti le-ar fi respins, fragmentând astfel rețeaua.

Cea mai gravă problemă (GHSA-28xj-328h-72vm) permitea unui hacker de la distanță să oprească permanent un nod din a descoperi blocuri noi cu o singură conexiune. Atacul combina trei slăbiciuni în modul în care Zebra partaja și descărca informații. 

Conform avizului Fundației Zcash, exploatarea „a produs un scor zero de comportament inadecvat, zero interdicții și zero deconectări", făcând-o astfel invizibilă pentru instrumentele standard de monitorizare.

A doua eroare (GHSA-jv4h-j224-23cc) a făcut, de asemenea, Zebra să piardă evidența numărului de semnături dintr-un bloc de tranzacții (de obicei ar fi numărat mai puțin decât limita de 20.000 sigop per bloc).

Aparent, sistemul Zebra a ignorat două tipuri specifice de scripturi (scriptSig-ul intrării Coinbase și semnăturile P2SH) în timpul validării blocului. Din această cauză, un atacator putea crea un bloc exploatând ambele lacune, trecând verificările Zebra, dar eșuând pe zcashd și creând o divizare a lanțului.

A treia problemă majoră (GHSA-gq4h-3grw-2rhv) a apărut din cauza unui remediu sighash anterior care a lăsat date vechi într-o zonă de stocare temporară (buffer) lizibilă prin interfața funcțiilor externe C++ a Zebra. 

Astfel, un atacator putea exploata acest lucru folosind o semnătură validă pentru a umple buffer-ul cu informații corecte, apoi trimitea o a doua tranzacție cu un tip de hash invalid care ar fi trecut verificarea pe baza datelor rămase. 

Pentru a rezolva acest lucru, Fundația a aplicat un remediu temporar care suprascrie buffer-ul cu octeți aleatori dacă o verificare eșuează, împiedicând astfel sistemul să reutilizeze informații vechi până când este implementat un remediu permanent.

Ultimele două erori au cauzat neînțelegeri între alte părți ale sistemului. O eroare a supraîncărcat rețeaua determinând-o să utilizeze prea multă memorie la citirea mesajelor (GHSA-438q-jx8f-cccv). Cealaltă era o discrepanță minoră de codare în modul în care Zebra verifica anumite tranzacții (GHSA-cwfq-rfcr-8hmp).

Fundația a remarcat că aceasta din urmă nu era exploatabilă în practică, dar a mers mai departe pentru a o remedia pentru a corespunde comportamentului zcashd. Cercetătorului de securitate Sangsoo-osec i se atribuie descoperirea a trei dintre cele cinci probleme.

Putea lansarea să vină la un moment mai bun?

Conform DeFiLlama, aprilie 2026 a fost luna cu cele mai multe hack-uri din istoria crypto (după numărul de incidente), suferind un număr estimat de 28 până la 30 de atacuri separate. Postarea X a CertiK din 30 aprilie a estimat pierderile totale la aproximativ 651 de milioane de dolari, cel mai ridicat nivel din martie 2022, excluzând breșa Bybit din februarie 2025.

Două incidente au fost responsabile pentru cea mai mare parte a daunelor. Pe 1 aprilie, Drift Protocol a pierdut aproximativ 285 de milioane de dolari într-o operațiune de inginerie socială legată de Grupul Lazarus din Coreea de Nord. Până pe 18 aprilie, KelpDAO suferise propriul exploit de falsificare a mesajelor în valoare de 293 de milioane de dolari, vizând un pod cross-chain LayerZero, conform Cryptopolitan. 

Remarcabil, niciunul dintre exploatările din aprilie nu a vizat direct Zcash. Dar volumul imens de atacuri pe toate lanțurile reflectă motivul pentru care Fundația sa a ales să eticheteze actualizarea Zebra drept „critică" și să impulsioneze adoptarea imediată.

Ce ar trebui să facă operatorii de noduri Zcash

Fundația recomandă tuturor operatorilor să facă upgrade la Zebra 4.4.0 imediat, deoarece lansarea nu introduce alte modificări semnificative dincolo de remedierile de securitate. 

Operatorii de noduri care rulează versiuni mai vechi rămân expuși la toate cele cinci vulnerabilități, inclusiv oprirea descoperirii blocurilor care necesită doar o singură conexiune malițioasă pentru a fi executată.

ZEC era tranzacționat la 377,46 dolari la momentul redactării, conform CoinMarketCap, cu o capitalizare de piață de 6,28 miliarde de dolari.

Dacă dorești un punct de intrare mai calm în crypto DeFi fără hype-ul obișnuit, începe cu acest videoclip gratuit.