مؤسسة Zcash تُصلح ثغرات بالغة الأهمية في نظام الإجماع بعد شهر قياسي من عمليات الاختراق بقيمة 651 مليون دولار

أصدرت مؤسسة Zcash اليوم، 2 مايو 2026، الإصدار Zebra 4.4.0، وحثت جميع مشغلي العقد على الترقية فورًا بعد إصلاح العديد من الثغرات الأمنية، بما في ذلك العديد من الثغرات التي كان من الممكن أن تؤدي إلى انقسام إجماع الشبكة.

يأتي هذا التحديث مع اختتام شهر أبريل كأسوأ شهر حتى الآن من حيث استغلال ثغرات العملات الرقمية . وقد أكدت شركة CertiK المتخصصة في أمن تقنية البلوك تشين خسائر إجمالية بلغت حوالي 651 مليون دولار في جميع أنحاء القطاع.

ما هي عيوب Zcash التي يعالجها الإصدار Zebra 4.4.0؟

التحديث المبنية على لغة Rust والتي ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcash، وبالتالي إحداث انقسام في الشبكة.

سمحت أخطر ثغرة أمنية (GHSA-28xj-328h-72vm) لمخترق عن بُعد بتعطيل إحدى العُقد نهائيًا ومنعها من اكتشاف كتل جديدة عبر اتصال واحد فقط. وقد استغل هذا الهجوم ثلاث نقاط ضعف في آلية مشاركة المعلومات وتنزيلها في نظام زيبرا. 

وفقًا لإشعار مؤسسة Zcash ، فإن الاستغلال "أدى إلى صفر درجة سوء سلوك، وصفر حظر، وصفر انقطاعات"، مما جعله غير مرئي لأدوات المراقبة القياسية.

كما تسبب خطأ ثانٍ (GHSA-jv4h-j224-23cc) في فقدان Zebra لعدد التوقيعات الموجودة داخل كتلة من المعاملات (عادة ما كان يحسب أقل من حد كتلة 20000 sigop).

يبدو أن نظام زيبرا تجاهل نوعين محددين من النصوص البرمجية (scriptSig الخاص بإدخال Coinbase، وتوقيعات P2SH) أثناء التحقق من صحة الكتل. ونتيجةً لذلك، يمكن للمهاجم إنشاء كتلة تستغل كلا الثغرتين، فتجتاز فحوصات زيبرا لكنها تفشل في التحقق من zcashd، مما يؤدي إلى انقسام السلسلة.

أما المشكلة الرئيسية الثالثة (GHSA-gq4h-3grw-2rhv) فقد حدثت بسبب إصلاح سابق لـ sighash ترك بيانات قديمة في منطقة تخزين مؤقتة (مخزن مؤقت) قابلة للقراءة عبر واجهة الوظائف الخارجية C++ الخاصة بـ Zebra. 

وبالتالي، يمكن للمهاجم استغلال هذا الأمر باستخدام توقيع صالح لملء المخزن المؤقت بالمعلومات الصحيحة، ثم إرسال معاملة ثانية بنوع تجزئة غير صالح من شأنه أن يجتاز التحقق بناءً على البيانات المتبقية. 

ولحل هذه المشكلة، طبقت المؤسسة حلاً مؤقتاً يقوم بتوزيع البايتات العشوائية في المخزن المؤقت في حالة فشل الفحص، مما يمنع النظام من إعادة استخدام المعلومات القديمة حتى يتم نشر حل دائم.

تسببت الخطوتان الأخيرتان في حدوث تعارضات بين أجزاء أخرى من النظام. أدت إحدى الخطوتين إلى إثقال الشبكة باستهلاكها كمية كبيرة من الذاكرة عند قراءة الرسائل (GHSA-438q-jx8f-cccv). أما الأخرى فكانت عبارة عن اختلاف برمجي بسيط في كيفية تحقق زيبرا من بعض المعاملات (GHSA-cwfq-rfcr-8hmp).

أشارت المؤسسة إلى أن الثغرة الأخيرة لم تكن قابلة للاستغلال عمليًا، لكنها مع ذلك قامت بتصحيحها لتتوافق مع سلوك zcashd. يُنسب الفضل إلى الباحث الأمني ​​سانغسو-أوسيك في اكتشاف ثلاث من المشكلات الخمس.

هل كان من الممكن أن يأتي الإصدار في وقت أفضل؟

بحسب موقع DeFiLlama، كان شهر أبريل 2026 الأكثر تعرضًا للاختراق في تاريخ العملات الرقمية (من حيث عدد الحوادثdent، حيث تعرض لما يُقدّر بنحو 28 إلى 30 هجومًا منفصلًا. وأشار منشور CertiK على منصة X بتاريخ 30 أبريل إلى أن إجمالي الخسائر بلغ حوالي 651 مليون دولار، وهو أعلى مستوى منذ مارس 2022، باستثناء اختراق Bybit في فبراير 2025.

مسؤولينdentعن معظم الأضرار. ففي الأول من أبريل، خسرت منصة دريفت بروتوكول حوالي 285 مليون دولار أمريكي في عملية هندسة اجتماعية مرتبطة بمجموعة لازاروس الكورية الشمالية. وبحلول 18 أبريل، تعرضت منصة كيلب داو لهجوم إلكتروني بقيمة 293 مليون دولار أمريكي استهدف جسر لاير زيرو متعدد السلاسل، وفقًا لموقع Cryptopolitan. 

والجدير بالذكر أن أياً من هجمات أبريل لم تستهدف Zcash بشكل مباشر. إلا أن العدد الهائل من الهجمات عبر سلاسل الكتل يعكس سبب اختيار مؤسسة زيكاش وصف تحديث زيبرا بأنه "حرج" والضغط من أجل اعتماده الفوري.

ما الذي ينبغي على مشغلي عقد Zcash فعله؟

تنصح المؤسسة جميع المشغلين بالترقية إلى Zebra 4.4.0 على الفور، حيث أن الإصدار لا يقدم أي تغييرات كبيرة أخرى بخلاف إصلاحات الأمان. 

لا يزال مشغلو العقد الذين يستخدمون إصدارات أقدم عرضة لجميع الثغرات الأمنية الخمس، بما في ذلك إيقاف اكتشاف الكتل الذي يتطلب اتصالًا خبيثًا واحدًا فقط للتنفيذ.

ZEC بسعر 377.46 دولارًا وقت كتابة هذا التقرير، وفقًا لموقع CoinMarketCap، بقيمة سوقية تبلغ 6.28 مليار دولار.