Zcash behebt kritische Schwachstellen, während Krypto-Hacks in einem Monat 651 Mio. USD erreichen

Heute, am 2. Mai 2026, hat die Zcash Foundation Zebra 4.4.0 veröffentlicht und fordert alle Node-Betreiber auf, sofort ein Upgrade durchzuführen, nachdem mehrere Sicherheitslücken behoben wurden, darunter einige, die den Netzwerk-Konsens hätten spalten können.

Der Patch erscheint, da der April als bisher schlimmster Monat für Krypto-Exploits endet. Das Blockchain-Sicherheitsunternehmen CertiK bestätigte Gesamtverluste von rund 651 Millionen US-Dollar in der gesamten Branche.

Welche Zcash-Schwachstellen behebt Zebra 4.4.0?

Das Update behebt fünf separate Schwachstellen in Zebra, der Rust-basierten Zcash-Node-Implementierung der Zcash Foundation. Drei der Fehler sind konsenskritisch, das heißt, Angreifer hätten sie ausnutzen können, um Zebra-Nodes dazu zu bringen, Transaktionen zu akzeptieren, die Legacy-zcashd-Clients ablehnen würden, und so das Netzwerk zu spalten.

Das schwerwiegendste Problem (GHSA-28xj-328h-72vm) ermöglichte es einem entfernten Hacker, einen Node mit nur einer einzigen Verbindung dauerhaft daran zu hindern, neue Blöcke zu entdecken. Der Angriff kombinierte drei Schwachstellen in der Art und Weise, wie Zebra Informationen teilt und herunterlädt. 

Laut der Mitteilung der Zcash Foundation erzeugte der Exploit „null Fehlverhaltenspunkte, null Sperren und null Verbindungsabbrüche" und war damit für Standard-Monitoring-Tools unsichtbar.

Ein zweiter Fehler (GHSA-jv4h-j224-23cc) ließ Zebra auch die Anzahl der Signaturen innerhalb eines Transaktionsblocks falsch zählen (normalerweise würde es weniger als das 20.000-Sigop-Block-Limit zählen).

Offenbar ignorierte Zebras System zwei spezifische Skripttypen (das scriptSig des Coinbase-Inputs und P2SH-Signaturen) bei der Blockvalidierung. Dadurch konnte ein Angreifer einen Block erstellen, der beide Lücken ausnutzt, Zebras Prüfungen besteht, aber bei zcashd scheitert und eine Chain-Spaltung verursacht.

Das dritte Hauptproblem (GHSA-gq4h-3grw-2rhv) entstand durch einen früheren Sighash-Fix, der veraltete Daten in einem temporären Speicherbereich (Buffer) hinterließ, der über Zebras C++ Foreign Function Interface lesbar war. 

So konnte ein Angreifer dies ausnutzen, indem er eine gültige Signatur verwendete, um den Buffer mit korrekten Informationen zu füllen, und dann eine zweite Transaktion mit einem ungültigen Hash-Typ einsendete, die die Verifizierung auf Basis der verbliebenen Daten bestehen würde. 

Um dies zu beheben, wendete die Foundation einen vorübergehenden Fix an, der den Buffer mit zufälligen Bytes überschreibt, wenn eine Prüfung fehlschlägt, und so verhindert, dass das System alte Informationen wiederverwendet, bis ein dauerhafter Fix eingesetzt wird.

Die letzten zwei Fehler verursachten Unstimmigkeiten zwischen anderen Teilen des Systems. Ein Fehler überlastete das Netzwerk, indem er beim Lesen von Nachrichten zu viel Speicher verbrauchte (GHSA-438q-jx8f-cccv). Der andere war eine geringfügige Codierungsabweichung in der Art, wie Zebra bestimmte Transaktionen verifizierte (GHSA-cwfq-rfcr-8hmp).

Die Foundation stellte fest, dass letzterer in der Praxis nicht ausnutzbar war, entschloss sich aber dennoch, ihn zu patchen, um das zcashd-Verhalten anzupassen. Sicherheitsforscher Sangsoo-osec wurde für die Entdeckung von drei der fünf Probleme anerkannt.

Hätte die Veröffentlichung zu einem besseren Zeitpunkt kommen können?

Laut DeFiLlama war der April 2026 der am häufigsten gehackte Monat in der Krypto-Geschichte (nach Anzahl der Vorfälle) mit schätzungsweise 28 bis 30 separaten Angriffen. CertiKs X-Post vom 30. April bezifferte die Gesamtverluste auf rund 651 Millionen US-Dollar – der höchste Wert seit März 2022, ohne den Bybit-Einbruch im Februar 2025.

Zwei Vorfälle waren für den Großteil des Schadens verantwortlich. Am 1. April verlor Drift Protocol rund 285 Millionen US-Dollar durch eine Social-Engineering-Operation, die mit der nordkoreanischen Lazarus Group in Verbindung gebracht wird. Bis zum 18. April hatte KelpDAO laut Cryptopolitan seinen eigenen 293-Millionen-US-Dollar-Exploit durch Message-Spoofing erlitten, der auf eine LayerZero Cross-Chain Brücke abzielte. 

Bemerkenswerterweise zielte keiner der April-Exploits direkt auf Zcash ab. Aber das schiere Volumen der Angriffe über alle Chains hinweg erklärt, warum die Foundation das Zebra-Update als „kritisch" einstufte und auf eine sofortige Einführung drängte.

Was Zcash-Node-Betreiber tun sollten

Die Foundation empfiehlt allen Betreibern, sofort ein Upgrade auf Zebra 4.4.0 durchzuführen, da die Version keine weiteren wesentlichen Änderungen über die Sicherheitsfixes hinaus einführt. 

Node-Betreiber, die ältere Versionen verwenden, bleiben allen fünf Schwachstellen ausgesetzt, einschließlich des Block-Entdeckungs-Stopps, der nur eine einzige böswillige Verbindung zur Ausführung benötigt.

ZEC wurde zum Zeitpunkt des Schreibens laut CoinMarketCap bei 377,46 US-Dollar gehandelt, mit einer Marktkapitalisierung von 6,28 Milliarden US-Dollar.

Wenn Sie einen ruhigeren Einstiegspunkt in DeFi-Krypto ohne den üblichen Hype suchen, beginnen Sie mit diesem kostenlosen Video.