Avui, 2 de maig de 2026, la Fundació Zcash acaba de llançar Zebra 4.4.0, instant a tots els operadors de nodes a actualitzar-se immediatament després de solucionar diversos errors de seguretat, inclosos diversos que podrien haver dividit el consens de la xarxa.
El pegat arriba quan l’abril es tanca com el pitjor mes per a les explotacions criptogràfiques fins ara. La firma de seguretat Blockchain CertiK va confirmar aproximadament 651 milions de dòlars en pèrdues totals a tota la indústria.
Quins defectes Zcash corregeix Zebra 4.4.0?
L’actualització resol cinc vulnerabilitats diferents a Zebra, la implementació del node Zcash basada en Rust creada per la Fundació Zcash. Tres dels errors són crítics per al consens, el que significa que els atacants podrien haver-los explotat i fer que els nodes de Zebra acceptessin transaccions que rebutjarien els clients zcashd heretats, dividint així la xarxa.
El problema més greu (GHSA-28xj-328h-72vm) va permetre a un pirata informàtic remot impedir permanentment que un node descobrís nous blocs amb una sola connexió. L’atac va combinar tres debilitats en com Zebra compartia i baixava la informació.
Segons l’avís de la Fundació Zcash, l’explotació “va produir zero puntuació de mal comportament, zero prohibicions i zero desconnexions”, fent-la invisible per a les eines de monitorització estàndard.
Un segon error (GHSA-jv4h-j224-23cc) també va fer que Zebra perdés el recompte de quantes signatures hi havia dins d’un bloc de transaccions (normalment comptaria menys del límit de bloc de 20.000 sigop).
Pel que sembla, el sistema de Zebra va ignorar dos tipus específics d’scripts (scriptSig de l’entrada de Coinbase i signatures P2SH) durant la validació del bloc. A causa d’això, un atacant podria crear un bloc explotant ambdues llacunes, passant els controls de Zebra però fallant en zcashd i creant una divisió en cadena.
El tercer problema important (GHSA-gq4h-3grw-2rhv) es va produir a causa d’una correcció de sighash anterior que deixava dades obsoletes en una àrea d’emmagatzematge temporal (búfer) llegible a través de la interfície de funció externa C++ de Zebra.
Com a tal, un atacant podria explotar-ho utilitzant una signatura vàlida per omplir la memòria intermèdia amb informació correcta i, a continuació, enviar una segona transacció amb un tipus hash no vàlid que passaria la verificació basada en les dades sobrants.
Per solucionar-ho, la Fundació va aplicar una correcció temporal que dispersa la memòria intermèdia amb bytes aleatoris si falla una comprovació, evitant així que el sistema reutilitzi la informació antiga fins que es desplega una solució permanent.
Els dos últims errors van provocar desacords entre altres parts del sistema. Un error va sobrecarregar la xarxa fent-la utilitzar massa memòria en llegir missatges (GHSA-438q-jx8f-cccv). L’altra va ser una discrepància de codificació menor en com Zebra va verificar determinades transaccions (GHSA-cwfq-rfcr-8hmp).
La Fundació va assenyalar que aquest últim no era pràcticament explotable, però tot i així es va avançar a pedaçar-lo perquè coincideixi amb el comportament de zcashd. L’investigador de seguretat Sangsoo-osec va ser acreditat per descobrir tres dels cinc problemes.
El llançament podria haver arribat en un millor moment?
Segons DeFiLlamal’abril del 2026 va ser el mes més piratejat de la història de la criptografia (per nombre d’incidents), i va patir entre 28 i 30 atacs separats. CertiK’s X post el 30 d’abril va situar les pèrdues totals en aproximadament 651 milions de dòlars, la més alta des del març de 2022, excloent l’incompliment de Bybit el febrer de 2025.
Dos incidents van ser els responsables de la majoria dels danys. L’1 d’abril, Drift Protocol va perdre uns 285 milions de dòlars en una operació d’enginyeria social vinculada al Grup Lazarus de Corea del Nord. El 18 d’abril, KelpDAO havia patit la seva pròpia explotació de falsificació de missatges de 293 milions de dòlars dirigida a un pont de cadena creuada LayerZero, segons Cryptopolitan.
Notablement, cap de les explotacions d’abril es va dirigir directament a Zcash. Però el gran volum d’atacs a través de les cadenes reflecteix per què la seva Fundació va triar etiquetar l’actualització de Zebra com a “crítica” i impulsar-ne l’adopció immediata.
Què haurien de fer els operadors del node Zcash
La Fundació aconsella a tots els operadors que actualitzin immediatament a Zebra 4.4.0, ja que la versió no introdueix cap altre canvi significatiu més enllà de les correccions de seguretat.
Els operadors de nodes que executen versions anteriors continuen exposats a les cinc vulnerabilitats, inclosa l’aturada del descobriment de blocs que només requereix una única connexió maliciosa per executar-se.
ZEC cotitzava a 377,46 dòlars en el moment d’escriure, segons CoinMarketCap, amb una capitalització de mercat de 6,28 mil milions de dòlars.
