Zcash parandab kriitilisi vigu, samal ajal kui krüptovaluutaga seotud rünnakud ulatuvad ühe kuu jooksul 651 miljoni dollari suuruseks

Täna, 2. mailil 2026, Zcash Foundation andis justi välja Zebra 4.4.0, soovides kõigil sõlmtegevustega isikutel kohe uuendada, pärast seda kui parandati mitmeid turvapuudusi, sealhulgas mitmeid, mis olid võimelised jagama võrgu konsensuse.

Parandus ilmub aprilliga, mis on seni kriptovaluutade rünnakute poolest kõige halvem kuu. Blockchaini turvalisuse firma CertiK kinnitas, et kogu tööstuses tekkis ligikaudu 651 miljoni dollari suurune kahju.

Milliseid Zcash’i puudusi parandab Zebra 4.4.0?

Uuendus parandab viit eraldi tõrget Zebra-s, mis on Zcash Foundationi loodud Rust-põhine Zcash’i sõlmtegevuse rakendus. Kolm neist tõrgetest on konsensuse jaoks kriitilised, st rünnakute korral oleksid nad võimaldanud Zebra-sõlmedel aktsepteerida tehinguid, mida vanema põhjaga zcashd-kliendid oleksid tagasi lükanud, põhjustades sellega võrgu jagunemise.

Kõige tõsisem probleem (GHSA-28xj-328h-72vm) võimaldas kaugelt asuval rünnakujal ühe ühendusega püsivalt takistada sõlme uute plokkide avastamist. Rünnak kasutas kokku kolme nõrka kohta Zebra andmete jagamises ja allalaadimises. 

Zcash Foundationi teate kohaselt „tekitas see rünnak nulli vale käitumise skoori, nulli keelumisi ja nulli ühenduste katkestusi“, muutes seega selle nähtamatuks tavapäraste jälgimisriistade jaoks.

Teine tõrge (GHSA-jv4h-j224-23cc) põhjustas ka Zebra süsteemis vigase arvu allkirjade lugemise ühes tehinguplokis (tavaliselt oli see alla 20 000 allkirja piiriga plokkide piiri).

Ilmselt ignoreeris Zebra süsteem plokkide valideerimisel kahte konkreetset skriptitüüpi (Coinbase sisendi scriptSig-i ja P2SH allkirju). Selle tõttu sai rünnakute toimepanija luua ploki, mis kasutas mõlemat nõrkust ära, läbis Zebra kontrollid, kuid ei läbinud zcashd kontrolli ning põhjustas ahela jagunemise.

Kolmas suur tõrge (GHSA-gq4h-3grw-2rhv) tekkis eelmise sighash-paranduse tõttu, mis jäi ajutisse salvestusruumi (puhverisse) vananenud andmed, millele oli võimalik ligi pääseda Zebra C++ välisfunktsiooni liidese kaudu. 

Seetõttu sai rünnakute toimepanija seda kasutada, esitades kehtiva allkirja, et täita puhver õigete andmetega, ja saates seejärel teise tehingu, millel oli kehtetu hash-tüüp, kuid mis läbis verifitseerimise juba allesjäänud andmete põhjal. 

Selle lahendamiseks rakendas Foundation ajutist parandust, mis segab puhvri juhuslike baitidega juhul, kui kontroll nurjub, takistades sellega süsteemi vana teabe taaskasutamist kuni püsiva paranduse rakendamiseni.

Viimased kaks tõrget põhjustasid teiste süsteemi osade vahel vastuolusid. Üks tõrge koormas võrku liialt palju mälu kasutades sõnumite lugemisel (GHSA-438q-jx8f-cccv). Teine oli väike koodimittevastavus Zebra teatud tehingute valideerimisel (GHSA-cwfq-rfcr-8hmp).

Foundation märkis, et viimane tõrge ei olnud praktikas äärmiselt ekspluateeritav, kuid siiski rakendati parandus, et Zebra käitumine vastaks zcashd käitumisele. Turvauuringute tegija Sangsoo-osec avastas viiest tõrgest kolm.

Kas väljalaske aeg võis olla parem?

DeFiLlama andmetel oli aprill 2026 kriptovaluutade ajaloos kõige rohkem rünnatud kuu (rünnakute arvu järgi), kus toimus ligikaudu 28–30 eraldi rünnakut. CertiKX-postitus 30. aprillil hinnas kogukahju ligikaudu 651 miljoni dollari suuruseks – see on kõrgeim summa alates märtsist 2022, välja arvatud Bybiti rünnak veebruaris 2025.

Suurima kahju põhjustasid kaks juhtumit. 1. aprillil kaotas Drift Protocol ligikaudu 285 miljonit dollarit põhjustatud sotsiaalse inseneritöö käigus, millest süüdistati Põhja-Korea Lazarus Groupi. 18. aprilliks oli KelpDAO-l endal ka oma 293 miljoni dollari suurune sõnumite valesti esitamise rünnak, mis sihtis LayerZero ristahela sildi, kirjutas Cryptopolitan. 

Märkimisväärselt ei sihtinud aprillis toimunud ükski rünnakut otse Zcash’i. Kuid rünnakute üldine mahukus erinevate ahelate üle peegeldab seda, miks Foundation valis Zebra uuenduse märgistuseks „kriitiline“ ja rõhutas kohe kasutuselevõtmist.

Mida peaksid tegema Zcash’i sõlmtegevustega isikud

Foundation soovib kõigil sõlmtegevustega isikutel kohe uuendada Zebra 4.4.0 versioonile, kuna see versioon ei sisalda muud olulisi muudatusi peale turvaparandused. 

Vanemate versioonidega sõlmtegevustega isikud on endiselt kõigi viie tõrke ohvrid, sealhulgas plokkide avastamise peatumise ohvrid, mille jaoks on vaja ainult ühte kurjategija poolt loodud ühendust.

Kirjutamise hetkel oli ZEC hind CoinMarketCap’i andmetel 377,46 dollarit ja turukapitalisatsioon 6,28 miljardit dollarit.

Kui soovite DeFi kriptovaluutadesse siseneda rahulikuma lähenemisviisiga ilma tavalise hüüa ja emotsiooniteta, alustage sellest tasuta videost.