Zcash 基金会在创纪录的6.51亿美元黑客攻击月后修复了共识机制的关键漏洞

今天，2026 年 5 月 2 日， Zcash 基金会发布了 Zebra 4.4.0 版本，敦促所有节点运营商立即升级，因为该版本修复了多个安全漏洞，其中包括几个可能导致网络共识分裂的漏洞。.

补丁发布之际，正值4月 加密货币漏洞攻击最为严重的月份 。区块链安全公司CertiK证实，整个行业的总损失约为6.51亿美元。

Zebra 4.4.0 修复了 Zcash 哪些缺陷？

此次更新 Rust 语言 ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcash客户端会拒绝的交易，从而导致网络分裂。

最严重的漏洞（GHSA-28xj-328h-72vm）允许远程黑客仅通过一次连接即可永久阻止节点发现新区块。该攻击利用了 Zebra 信息共享和下载方式中的三个漏洞。. 

根据 Zcash 基金会的通知，该漏洞“没有产生任何违规评分、封禁或断线”，因此标准监控工具无法检测到它。.

第二个错误（GHSA-jv4h-j224-23cc）也导致 Zebra 无法计算交易区块中的签名数量（通常计算出的签名数量会少于 20,000 个签名的区块限制）。.

显然，Zebra 的系统在区块验证过程中忽略了两种特定类型的脚本（Coinbase 输入的 scriptSig 和 P2SH 签名）。因此，攻击者可以创建一个利用这两个漏洞的区块，该区块能够通过 Zebra 的验证，但无法通过 zcash的验证，从而导致区块链分裂。.

第三个主要问题 (GHSA-gq4h-3grw-2rhv) 的出现是因为之前的 sighash 修复程序将过时的数据留在临时存储区域（缓冲区）中，而 Zebra 的 C++ 外部函数接口可以读取这些数据。. 

因此，攻击者可以利用这一点，使用有效的签名将正确的信息填充到缓冲区中，然后发送第二个交易，该交易使用无效的哈希类型，从而基于剩余的数据通过验证。. 

为了解决这个问题，基金会采取了一项临时修复措施，即如果检查失败，则用随机字节分散缓冲区，从而防止系统重用旧信息，直到部署永久修复措施为止。.

最后两个漏洞导致系统其他部分之间出现冲突。其中一个漏洞（GHSA-438q-jx8f-cccv）在读取消息时占用过多内存，导致网络过载。另一个漏洞是 Zebra 在验证某些交易时存在的细微编码差异（GHSA-cwfq-rfcr-8hmp）。.

基金会指出，后者实际上无法被利用，但仍然对其进行了修复，使其行为与 zcashd 一致。安全研究员 Sangsoo-osec 被认为是五个问题中三个的发现者。.

这次发布会的时机是否可以更好一些？

根据 DeFiLlama最多的月份dent，估计发生了 28 到 30 起独立攻击。CertiK 在 4 月 30 日发布的 X 报告 中指出，总损失约为 6.51 亿美元，是自 2022 年 3 月以来的最高水平（不包括 2025 年 2 月 Bybit 的数据泄露事件）。

两起dent造成了大部分损失。4月1日，Drift Protocol在一次与朝鲜Lazarus Group有关的社会工程攻击中损失了约2.85亿美元。 据 Cryptopolitan。 

值得注意的是，4 月份的所有攻击都没有直接针对 Zcash 。但跨链攻击的数量之多，也解释了为什么 Zcash 基金会将 Zebra 更新列为“关键”更新，并力推立即采用。.

Zcash 节点运营商应该做什么

基金会建议所有运营商立即升级到 Zebra 4.4.0，因为除了安全修复之外，该版本没有引入任何其他重大变化。. 

运行旧版本的节点运营商仍然会受到所有五个漏洞的影响，包括只需要一个恶意连接即可执行的块发现停止漏洞。.

ZEC 的 交易价格为 377.46 美元， 市值为 62.8 亿美元。