Фонд Zcash исправил критически важные для консенсуса ошибки после рекордного месяца хакерских атак, в результате которых было собрано 651 миллион долларов

Сегодня, 2 мая 2026 года, фонд Zcash выпустил Zebra 4.4.0, настоятельно призывая всех операторов узлов немедленно обновиться после устранения многочисленных уязвимостей безопасности, в том числе нескольких, которые могли бы расколоть консенсус сети.

Обновление вышло в тот момент, когда апрель завершился самым большим месяцем по количеству кибератак . Компания CertiK, специализирующаяся на безопасности блокчейна, подтвердила общие потери в отрасли в размере около 651 миллиона долларов.

Какие уязвимости Zcash исправлены в Zebra 4.4.0?

Обновление на основе Rust, Zcash разработанной Zcash . Три из этих ошибок критически важны для консенсуса, то есть злоумышленники могли бы использовать их и заставить узлы Zebra принимать транзакции, которые устаревшие zcashd отклонили бы, тем самым разделив сеть.

Наиболее серьёзная уязвимость (GHSA-28xj-328h-72vm) позволяла удалённому хакеру навсегда заблокировать возможность обнаружения новых блоков узлом всего лишь с помощью одного соединения. Атака объединила три уязвимости в способе обмена и загрузки информации в Zebra. 

Согласно уведомлению фонда Zcash , эксплойт «не привел к начислению нулевое количество штрафов за неправомерное поведение, ни одной блокировки и ни одного отключения», что сделало его невидимым для стандартных инструментов мониторинга.

Вторая ошибка (GHSA-jv4h-j224-23cc) также привела к тому, что Zebra перестала считать количество подписей в блоке транзакций (обычно она считала меньше, чем лимит в 20 000 подписей в блоке).

По всей видимости, система Zebra игнорировала два конкретных типа скриптов (scriptSig входных данных Coinbase и подписи P2SH) во время проверки блоков. Из-за этого злоумышленник мог создать блок, используя обе уязвимости, пройти проверку Zebra, но не пройти проверку zcashd и вызвать разделение цепочки.

Третья серьезная проблема (GHSA-gq4h-3grw-2rhv) возникла из-за предыдущего исправления sighash, которое оставило устаревшие данные во временной области хранения (буфере), доступные для чтения через интерфейс внешних функций C++ Zebra. 

Таким образом, злоумышленник может воспользоваться этим, используя действительную подпись для заполнения буфера корректной информацией, а затем отправить вторую транзакцию с недействительным типом хеша, которая пройдет проверку на основе оставшихся данных. 

Для решения этой проблемы Фонд применил временное исправление, которое, в случае неудачной проверки, разбрасывает случайные байты по буферу, тем самым предотвращая повторное использование системой старой информации до тех пор, пока не будет внедрено постоянное исправление.

Последние две ошибки вызвали разногласия с другими частями системы. Одна ошибка перегрузила сеть, заставив её использовать слишком много памяти при чтении сообщений (GHSA-438q-jx8f-cccv). Другая представляла собой незначительное несоответствие в коде, касающееся проверки определённых транзакций программой Zebra (GHSA-cwfq-rfcr-8hmp).

Фонд отметил, что последняя уязвимость практически не подлежит эксплуатации, но всё же выпустил патч, чтобы она соответствовала поведению zcashd. Три из пяти обнаруженных уязвимостей были выявлены исследователем безопасности Сангсу-осеком.

Мог ли релиз состояться в более подходящее время?

Согласно данным DeFiLlama, апрель 2026 года стал самым хакерским месяцем в истории криптовалют (по количеству инцидентовdentCertiK В сообщении от 30 апреля общие потери оценивались примерно в 651 миллион долларов, что является самым высоким показателем с марта 2022 года, за исключением взлома Bybit в феврале 2025 года.

двумяdent. 1 апреля Drift Protocol потерял около 285 миллионов долларов в результате операции социальной инженерии, связанной с северокорейской группировкой Lazarus Group. К 18 апреля KelpDAO пострадал от собственной атаки с подменой сообщений на сумму 293 миллиона долларов, направленной на межсетевой мост LayerZero, сообщает Cryptopolitan. 

Примечательно, что ни одна из апрельских атак не была направлена ​​непосредственно на Zcash . Но огромное количество атак по различным блокчейнам объясняет, почему фонд Zcash решил назвать обновление Zebra «критическим» и настаивать на его немедленном внедрении.

Что должны делать операторы узлов Zcash

Фонд рекомендует всем операторам немедленно обновить Zebra до версии 4.4.0, поскольку в этом релизе, помимо исправлений безопасности, не внесено никаких других существенных изменений. 

Операторы узлов, работающие с более старыми версиями, по-прежнему подвержены всем пяти уязвимостям, включая остановку обнаружения блоков, для выполнения которой достаточно всего одного вредоносного соединения.

Согласно данным CoinMarketCap, на момент написания статьи ZEC торговался по цене $377,46 , а его рыночная капитализация составляла $6,28 миллиарда