Zcash ने गंभीर खामियां ठीक कीं, एक महीने में क्रिप्टो हैक्स से $651M का नुकसान
आज, 2 मई 2026 को, Zcash Foundation ने Zebra 4.4.0 जारी किया है, जिसमें कई सुरक्षा खामियों को ठीक करने के बाद सभी नोड ऑपरेटरों से तुरंत अपग्रेड करने का आग्रह किया गया है, जिनमें से कुछ नेटवर्क की सहमति को विभाजित कर सकती थीं।
यह पैच ऐसे समय में आया है जब अप्रैल अब तक क्रिप्टो एक्सप्लॉइट के लिए सबसे बुरा महीना साबित हुआ है। ब्लॉकचेन सुरक्षा फर्म CertiK ने उद्योग में कुल नुकसान लगभग $651 मिलियन होने की पुष्टि की है।
Zebra 4.4.0 किस प्रकार की Zcash खामियों को ठीक करता है?
यह अपडेट Zebra में पांच अलग-अलग कमजोरियों को दूर करता है, जो Zcash Foundation द्वारा निर्मित Rust-आधारित Zcash नोड इम्प्लीमेंटेशन है। तीन बग्स कंसेंसस-क्रिटिकल हैं, जिसका अर्थ है कि हमलावर उनका फायदा उठाकर Zebra नोड्स को ऐसे ट्रांजेक्शन स्वीकार करवा सकते थे जिन्हें पुराने zcashd क्लाइंट अस्वीकार कर देते, और इस तरह नेटवर्क को विभाजित कर सकते थे।
सबसे गंभीर समस्या (GHSA-28xj-328h-72vm) ने एक रिमोट हैकर को केवल एक कनेक्शन से किसी नोड को नए ब्लॉक खोजने से स्थायी रूप से रोकने की अनुमति दी। इस हमले में Zebra द्वारा जानकारी साझा करने और डाउनलोड करने के तरीके में तीन कमजोरियों का संयोजन था।
Zcash Foundation की सूचना के अनुसार, इस एक्सप्लॉइट ने "शून्य मिसबिहेवियर स्कोर, शून्य बैन और शून्य डिसकनेक्शन उत्पन्न किए," जिससे यह मानक मॉनिटरिंग टूल्स के लिए अदृश्य हो गया।
दूसरे बग (GHSA-jv4h-j224-23cc) ने Zebra को ट्रांजेक्शन के एक ब्लॉक में कितने सिग्नेचर थे, इसकी गणना करने में गड़बड़ी पैदा की (यह आमतौर पर 20,000-sigop ब्लॉक सीमा से कम गिनता था)।
जाहिर तौर पर, Zebra की प्रणाली ने ब्लॉक वैलिडेशन के दौरान दो विशेष प्रकार की स्क्रिप्ट (Coinbase इनपुट का scriptSig और P2SH सिग्नेचर) को नजरअंदाज कर दिया। इसके कारण, एक हमलावर दोनों खामियों का फायदा उठाते हुए एक ब्लॉक बना सकता था, जो Zebra की जांच तो पास कर लेता लेकिन zcashd पर विफल हो जाता और चेन स्प्लिट बना देता।
तीसरी बड़ी समस्या (GHSA-gq4h-3grw-2rhv) एक पुराने sighash फिक्स के कारण हुई जिसने Zebra के C++ फॉरेन फंक्शन इंटरफेस में पढ़े जा सकने वाले एक अस्थायी स्टोरेज क्षेत्र (बफर) में पुराना डेटा छोड़ दिया।
इस प्रकार, एक हमलावर एक वैध सिग्नेचर का उपयोग करके बफर को सही जानकारी से भर सकता था, और फिर एक अमान्य हैश टाइप के साथ दूसरा ट्रांजेक्शन भेज सकता था जो बचे हुए डेटा के आधार पर वेरिफिकेशन पास कर लेता।
इसे ठीक करने के लिए, Foundation ने एक अस्थायी फिक्स लागू किया जो चेक विफल होने पर बफर को रैंडम बाइट्स से भर देता है, इस प्रकार स्थायी फिक्स तैनात होने तक सिस्टम को पुरानी जानकारी का पुनः उपयोग करने से रोकता है।
अंतिम दो बग्स ने सिस्टम के अन्य हिस्सों के बीच असहमति पैदा की। एक बग ने संदेश पढ़ते समय बहुत अधिक मेमोरी का उपयोग करवाकर नेटवर्क को ओवरलोड कर दिया (GHSA-438q-jx8f-cccv)। दूसरा, Zebra द्वारा कुछ ट्रांजेक्शन को वेरिफाई करने के तरीके में एक मामूली कोडिंग विसंगति थी (GHSA-cwfq-rfcr-8hmp)।
Foundation ने नोट किया कि बाद वाला व्यावहारिक रूप से एक्सप्लॉइट करने योग्य नहीं था, लेकिन फिर भी zcashd के व्यवहार से मेल खाने के लिए इसे पैच किया गया। सुरक्षा शोधकर्ता Sangsoo-osec को पांच में से तीन समस्याओं की खोज का श्रेय दिया गया।
क्या यह रिलीज बेहतर समय पर आ सकती थी?
DeFiLlama के अनुसार, अप्रैल 2026 क्रिप्टो इतिहास में सबसे अधिक हैक होने वाला महीना (घटनाओं की संख्या के हिसाब से) था, जिसमें अनुमानित 28 से 30 अलग-अलग हमले हुए। 30 अप्रैल को CertiK की X पोस्ट ने कुल नुकसान लगभग $651 मिलियन बताया, जो फरवरी 2025 में Bybit उल्लंघन को छोड़कर मार्च 2022 के बाद सबसे अधिक है।
दो घटनाएं अधिकांश नुकसान के लिए जिम्मेदार थीं। 1 अप्रैल को, Drift Protocol ने उत्तर कोरिया के Lazarus Group से जुड़े एक सोशल-इंजीनियरिंग ऑपरेशन में लगभग $285 मिलियन खो दिए। 18 अप्रैल तक, KelpDAO ने Cryptopolitan के अनुसार LayerZero क्रॉस-चेन ब्रिज को लक्षित करने वाले अपने $293 मिलियन के मैसेज-स्पूफिंग एक्सप्लॉइट का सामना किया था।
विशेष रूप से, अप्रैल के किसी भी एक्सप्लॉइट ने सीधे Zcash को निशाना नहीं बनाया। लेकिन सभी चेन पर हमलों की अत्यधिक मात्रा यह दर्शाती है कि Foundation ने Zebra अपडेट को "क्रिटिकल" क्यों लेबल किया और तत्काल अपनाने पर जोर दिया।
Zcash नोड ऑपरेटरों को क्या करना चाहिए
Foundation सभी ऑपरेटरों को तुरंत Zebra 4.4.0 में अपग्रेड करने की सलाह देता है, क्योंकि इस रिलीज में सुरक्षा फिक्स से परे कोई अन्य महत्वपूर्ण बदलाव नहीं हैं।
पुराने संस्करण चला रहे नोड ऑपरेटर सभी पांच कमजोरियों के प्रति उजागर रहते हैं, जिनमें ब्लॉक-डिस्कवरी हॉल्ट भी शामिल है जिसे निष्पादित करने के लिए केवल एक दुर्भावनापूर्ण कनेक्शन की आवश्यकता होती है।
लेखन के समय CoinMarketCap के अनुसार, ZEC $377.46 पर कारोबार कर रहा था, जिसका मार्केट कैप $6.28 बिलियन था।
यदि आप सामान्य हाइप के बिना DeFi क्रिप्टो में एक शांत प्रवेश बिंदु चाहते हैं, तो इस मुफ्त वीडियो से शुरुआत करें।
आपको यह भी पसंद आ सकता है
LAB क्रिप्टो की कीमत 210% उछली, डेरिवेटिव्स की होड़ ने बाजार को जकड़ा
XRP 26% मूल्य चाल के लिए तैयार लेकिन दिशा अज्ञात – विश्लेषक
