Zcash устраняет критические уязвимости на фоне криптовзломов на $651M за один месяц

Сегодня, 2 мая 2026 года, Zcash Foundation выпустила Zebra 4.4.0, настоятельно призывая всех операторов нод немедленно выполнить обновление после устранения нескольких уязвимостей безопасности, в том числе тех, которые могли привести к расколу консенсуса сети.

Патч выходит на фоне того, что апрель стал худшим месяцем по криптовзломам за всё время. Блокчейн-компания по безопасности CertiK подтвердила совокупные потери отрасли в размере около 651 млн $.

Какие уязвимости Zcash устраняет Zebra 4.4.0?

Обновление устраняет пять отдельных уязвимостей в Zebra — написанной на Rust реализации ноды Zcash, разработанной Zcash Foundation. Три из ошибок являются критическими для консенсуса: это означает, что злоумышленники могли использовать их и заставить ноды Zebra принимать транзакции, которые устаревшие клиенты zcashd отвергли бы, тем самым раскалывая сеть.

Наиболее серьёзная проблема (GHSA-28xj-328h-72vm) позволяла удалённому хакеру навсегда остановить обнаружение нодой новых блоков всего лишь при одном подключении. Атака совмещала три слабых места в том, как Zebra распространяла и загружала информацию. 

Согласно уведомлению Zcash Foundation, эксплойт «не генерировал никаких оценок нарушений, никаких блокировок и никаких отключений», что делало его невидимым для стандартных инструментов мониторинга.

Вторая ошибка (GHSA-jv4h-j224-23cc) также приводила к тому, что Zebra неправильно подсчитывала количество подписей внутри блока транзакций (обычно она считала меньше установленного лимита в 20 000 sigop на блок).

Оказалось, что система Zebra игнорировала два специфических типа скриптов (scriptSig входа Coinbase и подписи P2SH) при валидации блока. Из-за этого злоумышленник мог создать блок, использующий оба пробела, который проходил бы проверки Zebra, но не проходил бы в zcashd, вызывая раскол цепочки.

Третья серьёзная проблема (GHSA-gq4h-3grw-2rhv) возникла из-за предыдущего исправления sighash, которое оставляло устаревшие данные во временной области хранения (буфере), доступной для чтения через C++ foreign function interface Zebra. 

Таким образом, злоумышленник мог воспользоваться этим, используя действительную подпись для заполнения буфера корректными данными, а затем отправить вторую транзакцию с недействительным типом хеша, которая проходила бы верификацию на основе оставшихся данных. 

Для решения этой проблемы Foundation применила временное исправление, которое заполняет буфер случайными байтами при сбое проверки, тем самым не допуская повторного использования старых данных до развёртывания постоянного исправления.

Последние две ошибки вызывали разногласия между другими частями системы. Одна ошибка перегружала сеть, заставляя её использовать слишком много памяти при чтении сообщений (GHSA-438q-jx8f-cccv). Другая представляла собой незначительное расхождение в коде в том, как Zebra верифицировала определённые транзакции (GHSA-cwfq-rfcr-8hmp).

Foundation отметила, что последняя практически не поддавалась эксплуатации, но тем не менее выпустила патч для соответствия поведению zcashd. Исследователю безопасности Sangsoo-osec приписывают обнаружение трёх из пяти проблем.

Мог ли релиз выйти в более подходящее время?

По данным DeFiLlama, апрель 2026 года стал самым взламываемым месяцем в истории крипто (по числу инцидентов): было зафиксировано от 28 до 30 отдельных атак. X-пост CertiK от 30 апреля оценил общие потери примерно в 651 млн $ — это наибольший показатель с марта 2022 года, не считая взлома Bybit в феврале 2025 года.

Два инцидента стали причиной большей части ущерба. 1 апреля Drift Protocol потерял около 285 млн $ в результате операции социальной инженерии, связанной с северокорейской группой Lazarus Group. К 18 апреля KelpDAO пострадал от собственного эксплойта по подмене сообщений на 293 млн $, нацеленного на кросс-чейн мост LayerZero, по данным Cryptopolitan. 

Примечательно, что ни один из апрельских эксплойтов не был направлен непосредственно против Zcash. Однако огромный объём атак по всем цепочкам объясняет, почему Foundation решила пометить обновление Zebra как «критическое» и настаивать на его немедленном внедрении.

Что следует делать операторам нод Zcash

Foundation рекомендует всем операторам немедленно обновиться до Zebra 4.4.0, поскольку релиз не вносит никаких других существенных изменений помимо исправлений безопасности. 

Операторы нод, использующие более старые версии, остаются уязвимы ко всем пяти уязвимостям, включая остановку обнаружения блоков, для выполнения которой требуется лишь одно вредоносное подключение.

На момент написания ZEC торговался по 377,46 $, согласно CoinMarketCap, с рыночной капитализацией в 6,28 млрд $.

Если вы хотите более спокойную точку входа в DeFi крипто без привычного ажиотажа, начните с этого бесплатного видео.