La Fondation Zcash corrige des failles critiques pour le consensus après un mois de piratage record de 651 millions de dollars

Aujourd'hui, le 2 mai 2026, la Fondation Zcash vient de publier Zebra 4.4.0, exhortant tous les opérateurs de nœuds à effectuer la mise à jour immédiatement après la correction de plusieurs failles de sécurité, dont plusieurs qui auraient pu diviser le consensus du réseau.

Ce correctif intervient alors qu'avril s'achève comme le pire mois enregistré à ce jour en matière d'exploitation des failles de sécurité dans le secteur des cryptomonnaies. La société de sécurité blockchain CertiK a confirmé des pertes totales d'environ 651 millions de dollars pour l'ensemble du secteur.

Quels types de défauts Zcash la version Zebra 4.4.0 corrige-t-elle ?

Cette mise à jour basée sur Rust et ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcashrejetteraient, provoquant ainsi une scission du réseau.

La faille la plus grave (GHSA-28xj-328h-72vm) permettait à un pirate distant d'empêcher définitivement un nœud de découvrir de nouveaux blocs avec une seule connexion. L'attaque exploitait trois vulnérabilités dans la manière dont Zebra partageait et téléchargeait les informations. 

Selon l'avis de la Fondation Zcash , l'exploit « n'a produit aucun score de comportement anormal, aucun bannissement et aucune déconnexion », le rendant ainsi invisible aux outils de surveillance standard.

Un deuxième bug (GHSA-jv4h-j224-23cc) a également fait perdre à Zebra le compte du nombre de signatures contenues dans un bloc de transactions (il comptait généralement moins que la limite de bloc de 20 000 sigops).

Apparemment, le système de Zebra a ignoré deux types de scripts spécifiques (le scriptSig de l'entrée Coinbase et les signatures P2SH) lors de la validation des blocs. De ce fait, un attaquant pourrait créer un bloc exploitant ces deux failles, passant les vérifications de Zebra mais échouant sur le zcashd, ce qui provoquerait une scission de la chaîne.

Le troisième problème majeur (GHSA-gq4h-3grw-2rhv) est survenu à cause d'une correction précédente de sighash qui a laissé des données obsolètes dans une zone de stockage temporaire (tampon) lisibles via l'interface de fonction étrangère C++ de Zebra. 

Ainsi, un attaquant pourrait exploiter cette faille en utilisant une signature valide pour remplir le tampon avec des informations correctes, puis en envoyant une seconde transaction avec un type de hachage invalide qui passerait la vérification sur la base des données restantes. 

Pour résoudre ce problème, la Fondation a appliqué une solution temporaire qui consiste à disperser le tampon avec des octets aléatoires en cas d'échec d'une vérification, empêchant ainsi le système de réutiliser d'anciennes informations jusqu'à ce qu'une solution permanente soit déployée.

Les deux derniers bogues ont provoqué des incohérences avec d'autres composants du système. L'un d'eux surchargeait le réseau en entraînant une consommation excessive de mémoire lors de la lecture des messages (GHSA-438q-jx8f-cccv). L'autre était une légère anomalie de codage dans la manière dont Zebra vérifiait certaines transactions (GHSA-cwfq-rfcr-8hmp).

La Fondation a noté que cette dernière faille n'était pas exploitable en pratique, mais a néanmoins procédé à sa correction afin qu'elle corresponde au comportement zcashd. Le chercheur en sécurité Sangsoo-osec a été crédité de la découverte de trois des cinq problèmes.

Cette sortie aurait-elle pu tomber à un meilleur moment ?

Selon DeFiLlama, avril 2026 a été le mois le plus touché par le piratage informatique dans l'histoire des cryptomonnaies (en nombre d'incidentsdent, avec environ 28 à 30 attaques distinctes. Le rapport X , publié le 30 avril, estimait les pertes totales à environ 651 millions de dollars, un niveau jamais atteint depuis mars 2022, hors cyberattaque contre Bybit en février 2025.

Deuxdentont été à l'origine de la majeure partie des dégâts. Le 1er avril, Drift Protocol a perdu environ 285 millions de dollars lors d'une opération d'ingénierie sociale liée au groupe nord-coréen Lazarus. Le 18 avril, KelpDAO a subi une perte de 293 millions de dollars suite à une attaque par usurpation d'identité ciblant un pont inter-chaînes LayerZero, selon Cryptopolitan. 

Il est à noter qu'aucune des failles de sécurité d'avril ne ciblait directement Zcash . Cependant, l'ampleur des attaques touchant différentes blockchains explique pourquoi la Fondation Zcash a qualifié la mise à jour Zebra de « critique » et a insisté sur son adoption immédiate.

Que doivent faire les opérateurs de nœuds Zcash ?

La Fondation conseille à tous les opérateurs de passer immédiatement à Zebra 4.4.0, car cette version n'introduit aucun autre changement significatif au-delà des correctifs de sécurité. 

Les opérateurs de nœuds exécutant des versions plus anciennes restent exposés aux cinq vulnérabilités, y compris l'arrêt de la découverte de blocs qui ne nécessite qu'une seule connexion malveillante pour être exécuté.

le ZEC s'échangeait à 377,46 dollars , selon CoinMarketCap, pour une capitalisation boursière de 6,28 milliards de dollars.