A Fundação Zcash corrige falhas críticas de consenso após um mês de ataques recorde que movimentou US$ 651 milhões

Hoje, 2 de maio de 2026, a Fundação Zcash acaba de lançar o Zebra 4.4.0, recomendando que todos os operadores de nós atualizem imediatamente após a correção de diversas falhas de segurança, incluindo várias que poderiam ter dividido o consenso da rede.

A atualização chega em um momento em que abril se encerra como o pior mês para explorações de criptomoedas até agora. A empresa de segurança blockchain CertiK confirmou perdas totais de aproximadamente US$ 651 milhões em todo o setor.

Que tipo de falhas Zcash o Zebra 4.4.0 corrige?

A atualização baseada em Rust, Zcash criada pela Zcash . Três dessas falhas são críticas para o consenso, o que significa que atacantes poderiam tê-las explorado e feito com que os nós Zebra aceitassem transações que zcashrejeitariam, dividindo assim a rede.

A vulnerabilidade mais grave (GHSA-28xj-328h-72vm) permitiu que um hacker remoto impedisse permanentemente um nó de descobrir novos blocos com apenas uma conexão. O ataque explorou três fragilidades na forma como a Zebra compartilhava e baixava informações. 

Segundo o comunicado da Fundação Zcash , a exploração da vulnerabilidade "produziu zero pontos de mau comportamento, zero banimentos e zero desconexões", tornando-a invisível para as ferramentas de monitoramento padrão.

Um segundo bug (GHSA-jv4h-j224-23cc) também fez com que o Zebra perdesse a contagem de quantas assinaturas estavam dentro de um bloco de transações (normalmente, ele contava menos do que o limite de bloco de 20.000 assinaturas).

Aparentemente, o sistema da Zebra ignorou dois tipos específicos de scripts (o scriptSig da Coinbase e as assinaturas P2SH) durante a validação do bloco. Por causa disso, um atacante poderia criar um bloco explorando ambas as falhas, passando nas verificações da Zebra, mas falhando no zcashd e causando uma divisão na blockchain.

O terceiro problema grave (GHSA-gq4h-3grw-2rhv) ocorreu devido a uma correção anterior do sighash que deixou dados obsoletos em uma área de armazenamento temporário (buffer) legível através da interface de função externa C++ da Zebra. 

Dessa forma, um atacante poderia explorar isso usando uma assinatura válida para preencher o buffer com informações corretas e, em seguida, enviar uma segunda transação com um tipo de hash inválido que passaria na verificação com base nos dados restantes. 

Para resolver isso, a Fundação aplicou uma correção temporária que espalha bytes aleatórios no buffer caso uma verificação falhe, impedindo assim que o sistema reutilize informações antigas até que uma correção permanente seja implementada.

Os dois últimos erros causaram desentendimentos entre outras partes do sistema. Um deles sobrecarregava a rede, fazendo com que ela usasse muita memória ao ler mensagens (GHSA-438q-jx8f-cccv). O outro era uma pequena discrepância de código na forma como a Zebra verificava certas transações (GHSA-cwfq-rfcr-8hmp).

A Fundação observou que este último não era praticamente explorável, mas mesmo assim prosseguiu com a correção para corresponder ao comportamento zcashd. O pesquisador de segurança Sangsoo-osec foi creditado pela descoberta de três dos cinco problemas.

Será que o lançamento poderia ter ocorrido em melhor altura?

Segundo a DeFiLlama, abril de 2026 foi o mês com o maior número de ataques cibernéticos na história das criptomoedas (em número de incidentesdent, sofrendo cerca de 28 a 30 ataques distintos. A publicação da CertiK no X, em 30 de abril, estimou as perdas totais em aproximadamente US$ 651 milhões, o maior valor desde março de 2022, excluindo a violação de segurança da Bybit em fevereiro de 2025.

Doisdentforam responsáveis ​​pela maior parte dos danos. Em 1º de abril, o Drift Protocol perdeu cerca de US$ 285 milhões em uma operação de engenharia social ligada ao grupo norte-coreano Lazarus. Em 18 de abril, a KelpDAO sofreu um prejuízo de US$ 293 milhões com um ataque de falsificação de mensagens contra uma ponte cross-chain da LayerZero, segundo o Cryptopolitan. 

Notavelmente, nenhum dos ataques de abril teve como alvo direto Zcash . Mas o grande volume de ataques em diversas blockchains reflete o motivo pelo qual a Fundação Zebra optou por classificar a atualização como "crítica" e pressionar por sua adoção imediata.

O que os operadores de nós Zcash devem fazer

A Fundação recomenda que todos os operadores atualizem imediatamente para o Zebra 4.4.0, pois esta versão não introduz quaisquer outras alterações significativas além das correções de segurança. 

Os operadores de nós que executam versões mais antigas permanecem expostos a todas as cinco vulnerabilidades, incluindo a interrupção por descoberta de blocos, que requer apenas uma única conexão maliciosa para ser executada.

No momento da redação deste texto, o ZEC estava cotado a US$ 377,46 , de acordo com o CoinMarketCap, com uma capitalização de mercado de US$ 6,28 bilhões