Zcash Foundation behebt kritische Fehler im Konsens nach einem Rekord-Hackmonat mit einem Schaden von 651 Millionen US-Dollar

Heute, am 2. Mai 2026, hat die Zcash Foundation Zebra 4.4.0 veröffentlicht und alle Knotenbetreiber dringend aufgefordert, sofort ein Upgrade durchzuführen, nachdem mehrere Sicherheitslücken behoben wurden, darunter einige, die den Konsens des Netzwerks hätten spalten können.

Der Patch erscheint zum Abschluss des Aprils, der bisher der schlimmste Monat für Krypto-Sicherheitslücken war . Das Blockchain-Sicherheitsunternehmen CertiK bestätigte branchenweite Verluste von insgesamt rund 651 Millionen US-Dollar.

Welche Zcash Schwachstellen behebt Zebra 4.4.0?

Das Update , auf Rust basierenden ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcash-Clients ablehnen würden, was zu einer Spaltung des Netzwerks geführt hätte.

Die schwerwiegendste Sicherheitslücke (GHSA-28xj-328h-72vm) ermöglichte es einem Angreifer, einen Knotenpunkt mit nur einer einzigen Verbindung dauerhaft daran zu hindern, neue Blöcke zu entdecken. Der Angriff nutzte drei Schwachstellen in der Art und Weise aus, wie Zebra Informationen teilt und herunterlädt. 

Laut Mitteilung der Zcash Foundation führte der Exploit „zu keiner Fehlverhaltensbewertung, zu keiner Sperrung und zu keiner Verbindungsunterbrechung“, wodurch er für gängige Überwachungstools unsichtbar blieb.

Ein zweiter Fehler (GHSA-jv4h-j224-23cc) führte dazu, dass Zebra die Anzahl der Signaturen innerhalb eines Transaktionsblocks nicht mehr zählen konnte (normalerweise zählte es weniger als die Blockgrenze von 20.000 Sigop).

Offenbar ignorierte das System von Zebra bei der Blockvalidierung zwei bestimmte Skripttypen (die scriptSig- und P2SH-Signaturen der Coinbase-Eingabe). Dadurch konnte ein Angreifer einen Block erstellen, der beide Sicherheitslücken ausnutzte, die Zebra-Prüfungen bestand, aber bei zcashd scheiterte und so eine Kettenaufspaltung verursachte.

Das dritte größere Problem (GHSA-gq4h-3grw-2rhv) entstand aufgrund einer vorherigen Korrektur von sighash, die veraltete Daten in einem temporären Speicherbereich (Puffer) hinterließ, der über die C++ Foreign Function Interface von Zebra lesbar war. 

Ein Angreifer könnte dies ausnutzen, indem er eine gültige Signatur verwendet, um den Puffer mit korrekten Informationen zu füllen, und anschließend eine zweite Transaktion mit einem ungültigen Hash-Typ sendet, die auf Basis der verbleibenden Daten die Verifizierung bestehen würde. 

Um dieses Problem zu beheben, hat die Stiftung eine temporäre Lösung implementiert, die den Puffer mit zufälligen Bytes überschreibt, wenn eine Überprüfung fehlschlägt. Dadurch wird verhindert, dass das System alte Informationen wiederverwendet, bis eine dauerhafte Lösung implementiert ist.

Die beiden letzten Fehler führten zu Inkompatibilitäten zwischen anderen Systemkomponenten. Ein Fehler überlastete das Netzwerk, indem er beim Lesen von Nachrichten zu viel Speicher belegte (GHSA-438q-jx8f-cccv). Der andere Fehler war eine geringfügige Abweichung im Code hinsichtlich der Art und Weise, wie Zebra bestimmte Transaktionen verifizierte (GHSA-cwfq-rfcr-8hmp).

Die Stiftung merkte an, dass die letztgenannte Schwachstelle praktisch nicht ausnutzbar sei, behob sie aber dennoch, um sie an das Verhalten zcashd anzupassen. Dem Sicherheitsforscher Sangsoo-osec wird die Entdeckung von drei der fünf Schwachstellen zugeschrieben.

Hätte die Veröffentlichung zu einem besseren Zeitpunkt erfolgen können?

Laut DeFiLlamawar April 2026 der Monat mit den meisten Hackerangriffen in der Geschichte der Kryptowährungen (gemessen an der Anzahl der Vorfälledentmit schätzungsweise 28 bis 30 separaten Angriffen. CertiKs X-Beitrag vom 30. April bezifferte die Gesamtverluste auf rund 651 Millionen US-Dollar – den höchsten Wert seit März 2022, den Bybit-Hack im Februar 2025 ausgenommen.

Zweidentverursachten den Großteil des Schadens. Am 1. April verlor Drift Protocol durch eine Social-Engineering-Aktion der nordkoreanischen Lazarus-Gruppe rund 285 Millionen US-Dollar. Laut Cryptopolitan. 

Bemerkenswerterweise zielte keiner der Angriffe im April direkt auf Zcash ab. Die schiere Anzahl der Angriffe auf verschiedene Blockchains verdeutlicht jedoch, warum die Zcash Foundation das Zebra-Update als „kritisch“ einstufte und dessen sofortige Implementierung forderte.

Was Zcash Node-Betreiber tun sollten

Die Stiftung empfiehlt allen Betreibern, umgehend auf Zebra 4.4.0 zu aktualisieren, da diese Version außer den Sicherheitskorrekturen keine weiteren wesentlichen Änderungen mit sich bringt. 

Knotenbetreiber, die ältere Versionen verwenden, sind weiterhin allen fünf Schwachstellen ausgesetzt, einschließlich des Block-Discovery-Stopps, für dessen Ausführung nur eine einzige bösartige Verbindung erforderlich ist.

ZEC bei 377,46 US-Dollar , mit einer Marktkapitalisierung von 6,28 Milliarden US-Dollar.