Zcash Foundation corregge i bug critici per il consenso dopo un mese record di attacchi hacker da 651 milioni di dollari

Oggi, 2 maggio 2026, la Zcash Foundation ha rilasciato Zebra 4.4.0, esortando tutti gli operatori dei nodi ad aggiornare immediatamente dopo aver corretto diverse falle di sicurezza, tra cui alcune che avrebbero potuto compromettere il consenso della rete.

La patch arriva mentre aprile si conclude come il peggior mese finora per gli exploit nel settore delle criptovalute. La società di sicurezza blockchain CertiK ha confermato perdite totali per circa 651 milioni di dollari in tutto il settore.

Quali difetti di Zcash vengono corretti da Zebra 4.4.0?

L'aggiornamento basata su Rust e ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcashavrebbero rifiutato, causando così una divisione della rete.

La vulnerabilità più grave (GHSA-28xj-328h-72vm) consentiva a un hacker remoto di impedire in modo permanente a un nodo di scoprire nuovi blocchi con una sola connessione. L'attacco combinava tre debolezze nel modo in cui Zebra condivideva e scaricava le informazioni. 

Secondo quanto riportato dalla Zcash Foundation, la vulnerabilità "non ha prodotto alcun punteggio di comportamento scorretto, nessun ban e nessuna disconnessione", risultando quindi invisibile ai normali strumenti di monitoraggio.

Un secondo bug (GHSA-jv4h-j224-23cc) ha inoltre causato la perdita del conteggio da parte di Zebra del numero di firme presenti in un blocco di transazioni (di solito il conteggio risultava inferiore al limite di 20.000 sigop per blocco).

A quanto pare, il sistema di Zebra ignorava due tipi specifici di script (lo scriptSig dell'input di Coinbase e le firme P2SH) durante la validazione dei blocchi. Per questo motivo, un malintenzionato poteva creare un blocco sfruttando entrambe le lacune, superando i controlli di Zebra ma fallendo su zcashd e causando una divisione della blockchain.

Il terzo problema principale (GHSA-gq4h-3grw-2rhv) si è verificato a causa di una precedente correzione di sighash che ha lasciato dati obsoleti in un'area di archiviazione temporanea (buffer) leggibile tramite l'interfaccia di funzioni esterne C++ di Zebra. 

Pertanto, un malintenzionato potrebbe sfruttare questa vulnerabilità utilizzando una firma valida per riempire il buffer con informazioni corrette, e quindi inviare una seconda transazione con un tipo di hash non valido che supererebbe la verifica in base ai dati rimanenti. 

Per risolvere questo problema, la Fondazione ha applicato una soluzione temporanea che, in caso di errore durante un controllo, disperde byte casuali nel buffer, impedendo così al sistema di riutilizzare informazioni obsolete fino all'implementazione di una soluzione definitiva.

Gli ultimi due bug hanno causato disaccordi con altre parti del sistema. Un bug ha sovraccaricato la rete facendole utilizzare troppa memoria durante la lettura dei messaggi (GHSA-438q-jx8f-cccv). L'altro era una piccola discrepanza di codice nel modo in cui Zebra verificava determinate transazioni (GHSA-cwfq-rfcr-8hmp).

La Fondazione ha osservato che quest'ultima vulnerabilità non era praticamente sfruttabile, ma ha comunque proceduto a correggerla per renderla identica al comportamento di zcash. Il ricercatore di sicurezza Sangsoo-osec è stato accreditato per aver scoperto tre delle cinque vulnerabilità.

L'uscita poteva avvenire in un momento migliore?

Secondo DeFiLlama, aprile 2026 è stato il mese con il maggior numero di attacchi hacker nella storia delle criptovalute (in termini di numero di incidentident, con una stima di 28-30 attacchi distinti. Il post di CertiK su X del 30 aprile ha stimato le perdite totali a circa 651 milioni di dollari, la cifra più alta da marzo 2022, escludendo la violazione di Bybit del febbraio 2025.

Duedentsono stati responsabili della maggior parte dei danni. Il 1° aprile, Drift Protocol ha perso circa 285 milioni di dollari in un'operazione di ingegneria sociale collegata al gruppo nordcoreano Lazarus. Entro il 18 aprile, KelpDAO ha subito un attacco di spoofing dei messaggi da 293 milioni di dollari, mirato a un bridge cross-chain di LayerZero, secondo quanto riportato da Cryptopolitan. 

In particolare, nessuno degli attacchi di aprile ha preso di mira direttamente Zcash . Tuttavia, l'enorme volume di attacchi su diverse blockchain spiega perché la sua Fondazione abbia scelto di definire l'aggiornamento Zebra "critico" e di promuoverne l'adozione immediata.

Cosa dovrebbero fare gli operatori dei nodi Zcash

La Fondazione consiglia a tutti gli operatori di aggiornare immediatamente a Zebra 4.4.0, poiché questa versione non introduce altre modifiche significative oltre alle correzioni di sicurezza. 

Gli operatori dei nodi che utilizzano versioni precedenti rimangono esposti a tutte e cinque le vulnerabilità, incluso il blocco del rilevamento dei blocchi che richiede una sola connessione malevola per essere eseguito.

ZEC veniva scambiato a 377,46 dollari Secondo CoinMarketCap, al momento della stesura di questo articolo