Zcash łata krytyczne luki, gdy włamania do kryptowalut osiągnęły 651 mln dolarów w ciągu miesiąca

Dziś, 2 maja 2026 roku, Fundacja Zcash wydała właśnie Zebra 4.4.0, wzywając wszystkich operatorów węzłów do natychmiastowej aktualizacji po naprawieniu wielu luk bezpieczeństwa, w tym kilku, które mogły doprowadzić do podziału konsensusu sieci.

Łatka pojawia się w momencie, gdy kwiecień zamknął się jako najgorszy miesiąc pod względem exploitów kryptograficznych do tej pory. Firma zajmująca się bezpieczeństwem blockchain, CertiK, potwierdziła łączne straty w branży na poziomie około 651 milionów dolarów.

Jakie luki Zcash naprawia Zebra 4.4.0?

Aktualizacja rozwiązuje pięć oddzielnych podatności w Zebrze, opartej na języku Rust implementacji węzła Zcash zbudowanej przez Fundację Zcash. Trzy z błędów są krytyczne dla konsensusu, co oznacza, że atakujący mogli je wykorzystać i sprawić, że węzły Zebra akceptowałyby transakcje, które starsze klienty zcashd odrzuciłyby, tym samym dzieląc sieć.

Najpoważniejszy problem (GHSA-28xj-328h-72vm) pozwolił zdalnemu hakerowi trwale zatrzymać węzeł przed odkrywaniem nowych bloków przy użyciu zaledwie jednego połączenia. Atak połączył trzy słabości w sposobie, w jaki Zebra udostępniała i pobierała informacje. 

Według komunikatu Fundacji Zcash, exploit „nie generował żadnego wyniku złego zachowania, żadnych banów i żadnych rozłączeń", co czyniło go niewidocznym dla standardowych narzędzi monitorowania.

Drugi błąd (GHSA-jv4h-j224-23cc) sprawiał również, że Zebra traciła licznik podpisów wewnątrz bloku transakcji (zazwyczaj liczyłaby mniej niż limit 20 000 sigop dla bloku).

Najwyraźniej system Zebry ignorował dwa specyficzne typy skryptów (scriptSig wejścia Coinbase oraz podpisy P2SH) podczas walidacji bloków. Z tego powodu atakujący mógł stworzyć blok wykorzystujący obie luki, który przechodziłby kontrole Zebry, ale zawodziłby w zcashd, tworząc podział łańcucha.

Trzeci poważny problem (GHSA-gq4h-3grw-2rhv) wystąpił z powodu poprzedniej poprawki sighash, która pozostawiła przestarzałe dane w tymczasowym obszarze pamięci (buforze) odczytywalnym przez interfejs obcych funkcji C++ Zebry. 

Atakujący mógł to wykorzystać, używając prawidłowego podpisu do wypełnienia bufora właściwymi informacjami, a następnie wysyłając drugą transakcję z nieprawidłowym typem hash, która przeszłaby weryfikację na podstawie pozostawionych danych. 

Aby rozwiązać ten problem, Fundacja zastosowała tymczasową poprawkę, która wypełnia bufor losowymi bajtami w przypadku niepowodzenia kontroli, zapobiegając w ten sposób ponownemu wykorzystaniu starych informacji przez system do czasu wdrożenia trwałej poprawki.

Ostatnie dwa błędy powodowały niezgodności między innymi częściami systemu. Jeden błąd przeciążał sieć, zmuszając ją do zużywania zbyt dużej ilości pamięci podczas odczytywania wiadomości (GHSA-438q-jx8f-cccv). Drugi był drobną rozbieżnością w kodowaniu sposobu, w jaki Zebra weryfikowała określone transakcje (GHSA-cwfq-rfcr-8hmp).

Fundacja odnotowała, że ten ostatni nie był praktycznie możliwy do wykorzystania, ale mimo to zdecydowała się go załatać, aby dopasować zachowanie zcashd. Badacz bezpieczeństwa Sangsoo-osec został uznany za odkrycie trzech z pięciu problemów.

Czy wydanie mogło pojawić się w lepszym momencie?

Według DeFiLlama, kwiecień 2026 był miesiącem z największą liczbą włamań w historii kryptowalut (pod względem liczby incydentów), odnotowując szacunkowo od 28 do 30 oddzielnych ataków. Post X CertiK z 30 kwietnia oszacował łączne straty na około 651 milionów dolarów, co jest najwyższym wynikiem od marca 2022 roku, z wyłączeniem naruszenia Bybit w lutym 2025 roku.

Dwa incydenty były odpowiedzialne za większość szkód. 1 kwietnia Drift Protocol stracił około 285 milionów dolarów w operacji socjotechnicznej powiązanej z północnokoreańską Grupą Lazarus. Do 18 kwietnia KelpDAO doznało własnego exploita w wysokości 293 milionów dolarów polegającego na fałszowaniu wiadomości, wymierzonego w most cross-chain LayerZero, według Cryptopolitan. 

Warto zauważyć, że żaden z kwietniowych exploitów nie był bezpośrednio wymierzony w Zcash. Jednak sama liczba ataków w różnych sieciach odzwierciedla, dlaczego jego Fundacja zdecydowała się określić aktualizację Zebry jako „krytyczną" i naciskać na natychmiastowe jej wdrożenie.

Co powinni zrobić operatorzy węzłów Zcash

Fundacja radzi wszystkim operatorom, aby natychmiast zaktualizowali oprogramowanie do Zebra 4.4.0, ponieważ wydanie nie wprowadza żadnych innych znaczących zmian poza poprawkami bezpieczeństwa. 

Operatorzy węzłów korzystający ze starszych wersji pozostają narażeni na wszystkie pięć podatności, w tym na zatrzymanie odkrywania bloków, które wymaga tylko jednego złośliwego połączenia do wykonania.

ZEC był notowany po 377,46 dolarów w chwili pisania tego tekstu, według CoinMarketCap, z kapitalizacją rynkową wynoszącą 6,28 miliarda dolarów.

Jeśli chcesz spokojniejszego wejścia w kryptowaluty DeFi bez zwykłego szumu, zacznij od tego bezpłatnego wideo.