Zcashが重大な脆弱性を修正、暗号資産ハッキング被害が1ヶ月で6億5100万ドルに達する

2026/5/2、Zcash財団はZebra 4.4.0をリリースし、ネットワークのコンセンサスを分裂させる可能性のある脆弱性を含む複数のセキュリティ上の欠陥を修正したとして、すべてのノードオペレーターに即時アップグレードを呼びかけました。

このパッチは、4月が暗号資産のエクスプロイトにおいて過去最悪の月となる中でリリースされました。ブロックチェーンセキュリティ企業CertiKは、業界全体の損失が約6億5100万ドルに上ることを確認しています。

Zebra 4.4.0はZcashのどのような脆弱性を修正するのか？

今回のアップデートは、Zcash財団が構築したRust製ZcashノードであるZebraの5つの脆弱性を解消します。そのうち3つはコンセンサスに関わる重大なバグであり、攻撃者がこれを悪用することで、従来のzcashdクライアントが拒否するトランザクションをZebraノードに受け入れさせ、ネットワークを分裂させる可能性がありました。

最も深刻な問題（GHSA-28xj-328h-72vm）は、リモートのハッカーが1つの接続だけでノードが新しいブロックを発見できないよう永続的に停止させることを可能にするものでした。この攻撃は、Zebraが情報を共有・ダウンロードする際の3つの弱点を組み合わせたものです。 

Zcash財団の通知によれば、このエクスプロイトは「不正行為スコアゼロ、BAN件数ゼロ、切断件数ゼロ」を生成するため、標準的な監視ツールからは検知不能でした。

2つ目のバグ（GHSA-jv4h-j224-23cc）は、Zebraがトランザクションブロック内の署名数のカウントを誤らせるものでした（通常は2万sigopのブロック制限より少なくカウントしてしまいます）。

Zebraのシステムはブロック検証中に2種類の特定スクリプト（CoinbaseインプットのscriptSigおよびP2SH署名）を無視していたことが原因です。これにより、攻撃者は両方のギャップを悪用したブロックを作成し、Zebraのチェックを通過しながらzcashdでは失敗させ、チェーン分裂を引き起こすことができました。

3つ目の主要な問題（GHSA-gq4h-3grw-2rhv）は、以前のsighash修正が原因で発生しました。この修正により、ZebraのC++外部関数インターフェースを通じて読み取り可能な一時ストレージ領域（バッファ）に古いデータが残留していました。 

攻撃者はこれを悪用し、有効な署名でバッファに正しい情報を埋め、次に無効なハッシュタイプを持つ2番目のトランザクションを送信することで、残留データに基づいて認証を通過させることができました。 

この問題を解決するため、財団はチェックが失敗した場合にバッファにランダムなバイトを散布する一時的な修正を適用し、恒久的な修正が展開されるまでシステムが古い情報を再利用できないようにしました。

残りの2つのバグはシステムの他の部分間で不整合を引き起こしていました。1つはメッセージ読み取り時に過剰なメモリを使用させてネットワークに負荷をかけるもの（GHSA-438q-jx8f-cccv）、もう1つはZebraが特定のトランザクションを検証する際のコード上の軽微な不一致（GHSA-cwfq-rfcr-8hmp）でした。

財団は後者が実際には悪用不可能であると指摘しつつも、zcashdの動作と一致させるためにパッチを適用しました。セキュリティ研究者のSangsoo-osecが5つの問題のうち3つを発見したとして評価されています。

リリースのタイミングは適切だったか？

DeFiLlamaによると、2026年4月は暗号資産の歴史上最もハッキング件数が多い月（インシデント数ベース）となり、推定28〜30件の攻撃を受けました。CertiKが4/30に投稿したXの投稿では、総損失額は約6億5100万ドルとされており、2025年2月のBybit侵害を除くと2022年3月以来最高の水準です。

被害の大半は2件の事案によるものです。4/1にDrift Protocolが北朝鮮のLazarus Groupと関連するソーシャルエンジニアリング攻撃で約2億8500万ドルを失いました。Cryptopolitanによれば、4/18までにKelpDAOもLayerZeroのクロスチェーンブリッジを標的としたメッセージ偽装エクスプロイトにより2億9300万ドルの被害を受けました。 

注目すべきことに、4月のエクスプロイトはいずれもZcashを直接標的にしていませんでした。しかし、複数のチェーンにわたる攻撃の圧倒的な件数は、財団がZebraのアップデートを「クリティカル」と位置づけ、即時導入を推進した理由を物語っています。

Zcashノードオペレーターが取るべき対応

財団はすべてのオペレーターに対してZebra 4.4.0への即時アップグレードを推奨しています。今回のリリースはセキュリティ修正以外に重大な変更は含まれていません。 

旧バージョンを実行しているノードオペレーターは引き続き5つすべての脆弱性にさらされており、その中には単一の悪意ある接続だけで実行可能なブロック発見停止攻撃も含まれます。

執筆時点でZECはCoinMarketCapによると$377.46で取引されており、時価総額は62億8000万ドルです。

いつものような過熱感なく、落ち着いてDeFi暗号資産の世界に入りたい方は、こちらの無料動画からご覧ください。