Zcash 修復關鍵漏洞，此前一個月加密貨幣黑客攻擊造成的損失高達6.51億美元

今天，2026 年 5 月 2 日， Zcash 基金會發布了 Zebra 4.4.0 版本，敦促所有節點運營商立即升級，因爲該版本修復了多個安全漏洞，其中包括幾個可能導致網絡共識分裂的漏洞。.

補丁發佈之際，正值4月 加密貨幣漏洞攻擊最爲嚴重的月份 。區塊鏈安全公司CertiK證實，整個行業的總損失約爲6.51億美元。

Zebra 4.4.0 修復了 Zcash 哪些缺陷？

此次更新 Rust 語言 ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcash客戶端會拒絕的交易，從而導致網絡分裂。

最嚴重的漏洞（GHSA-28xj-328h-72vm）允許遠程黑客僅通過一次連接即可永久阻止節點發現新區塊。該攻擊利用了 Zebra 信息共享和下載方式中的三個漏洞。. 

根據 Zcash 基金會的通知，該漏洞“沒有產生任何違規評分、封禁或斷線”，因此標準監控工具無法檢測到它。.

第二個錯誤（GHSA-jv4h-j224-23cc）也導致 Zebra 無法計算交易區塊中的簽名數量（通常計算出的簽名數量會少於 20,000 個簽名的區塊限制）。.

顯然，Zebra 的系統在區塊驗證過程中忽略了兩種特定類型的腳本（Coinbase 輸入的 scriptSig 和 P2SH 簽名）。因此，攻擊者可以創建一個利用這兩個漏洞的區塊，該區塊能夠通過 Zebra 的驗證，但無法通過 zcash的驗證，從而導致區塊鏈分裂。.

第三個主要問題 (GHSA-gq4h-3grw-2rhv) 的出現是因爲之前的 sighash 修復程序將過時的數據留在臨時存儲區域（緩衝區）中，而 Zebra 的 C 外部函數接口可以讀取這些數據。. 

因此，攻擊者可以利用這一點，使用有效的簽名將正確的信息填充到緩衝區中，然後發送第二個交易，該交易使用無效的哈希類型，從而基於剩餘的數據通過驗證。. 

爲了解決這個問題，基金會採取了一項臨時修復措施，即如果檢查失敗，則用隨機字節分散緩衝區，從而防止系統重用舊信息，直到部署永久修復措施爲止。.

最後兩個漏洞導致系統其他部分之間出現衝突。其中一個漏洞（GHSA-438q-jx8f-cccv）在讀取消息時佔用過多內存，導致網絡過載。另一個漏洞是 Zebra 在驗證某些交易時存在的細微編碼差異（GHSA-cwfq-rfcr-8hmp）。.

基金會指出，後者實際上無法被利用，但仍然對其進行了修復，使其行爲與 zcashd 一致。安全研究員 Sangsoo-osec 被認爲是五個問題中三個的發現者。.

這次發佈會的時機是否可以更好一些？

根據 DeFiLlama最多的月份dent，估計發生了 28 到 30 起獨立攻擊。CertiK 在 4 月 30 日發佈的 X 報告 中指出，總損失約爲 6.51 億美元，是自 2022 年 3 月以來的最高水平（不包括 2025 年 2 月 Bybit 的數據泄露事件）。

兩起dent造成了大部分損失。4月1日，Drift Protocol在一次與朝鮮Lazarus Group有關的社會工程攻擊中損失了約2.85億美元。 據 Cryptopolitan。 

值得注意的是，4 月份的所有攻擊都沒有直接針對 Zcash 。但跨鏈攻擊的數量之多，也解釋了爲什麼 Zcash 基金會將 Zebra 更新列爲“關鍵”更新，併力推立即採用。.

Zcash 節點運營商應該做什麼

基金會建議所有運營商立即升級到 Zebra 4.4.0，因爲除了安全修復之外，該版本沒有引入任何其他重大變化。. 

運行舊版本的節點運營商仍然會受到所有五個漏洞的影響，包括只需要一個惡意連接即可執行的塊發現停止漏洞。.

ZEC 的 交易價格爲 377.46 美元， 市值爲 62.8 億美元。

最頂尖的加密貨幣專家都在閱讀我們的簡報。想 加入他們？