Zcash แพตช์ช่องโหว่ร้ายแรง ขณะที่การแฮกคริปโตสร้างความเสียหายกว่า 651 ล้านดอลลาร์ในหนึ่งเดือน

วันนี้ 2 พฤษภาคม 2026 Zcash Foundation เพิ่งเปิดตัว Zebra 4.4.0 พร้อมเร่งเตือนผู้ดูแลโหนดทุกรายให้อัปเกรดทันที หลังจากแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการ รวมถึงบางรายการที่อาจทำให้เครือข่ายเกิดการแยกตัวในระดับ consensus

การอัปเดตแพตช์นี้เกิดขึ้นในช่วงที่เดือนเมษายนปิดฉากลงในฐานะเดือนที่เลวร้ายที่สุดสำหรับการโจมตีคริปโตจนถึงตอนนี้ บริษัทความปลอดภัยบล็อกเชน CertiK ยืนยันว่ามีความเสียหายรวมทั้งสิ้นประมาณ 651 ล้านดอลลาร์ทั่วทั้งอุตสาหกรรม

Zebra 4.4.0 แก้ไขช่องโหว่ประเภทใดของ Zcash?

การอัปเดตนี้แก้ไขช่องโหว่ 5 รายการที่แยกจากกันใน Zebra ซึ่งเป็นการนำ Zcash node มาใช้งานบนพื้นฐาน Rust ที่พัฒนาโดย Zcash Foundation โดย 3 ใน 5 บั๊กเป็นระดับ consensus-critical หมายความว่าผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อทำให้โหนด Zebra ยอมรับธุรกรรมที่ไคลเอนต์ zcashd รุ่นเก่าจะปฏิเสธ ซึ่งอาจทำให้เครือข่ายแยกตัวออกจากกัน

ช่องโหว่ที่รุนแรงที่สุด (GHSA-28xj-328h-72vm) ทำให้แฮกเกอร์จากระยะไกลสามารถหยุดโหนดจากการค้นพบบล็อกใหม่ได้อย่างถาวรด้วยการเชื่อมต่อเพียงครั้งเดียว การโจมตีนี้รวมจุดอ่อน 3 ประการในวิธีที่ Zebra แชร์และดาวน์โหลดข้อมูล 

จากประกาศของ Zcash Foundation การโจมตีดังกล่าว "ไม่ก่อให้เกิดคะแนนพฤติกรรมไม่เหมาะสม การแบน หรือการตัดการเชื่อมต่อใดๆ เลย" จึงทำให้มองไม่เห็นด้วยเครื่องมือตรวจสอบมาตรฐาน

บั๊กที่สอง (GHSA-jv4h-j224-23cc) ยังทำให้ Zebra นับจำนวนลายเซ็นภายในบล็อกธุรกรรมผิดพลาด (โดยปกติจะนับน้อยกว่าขีดจำกัดบล็อก 20,000-sigop)

ระบบของ Zebra ละเว้นสคริปต์สองประเภทเฉพาะ (scriptSig ของ Coinbase input และลายเซ็น P2SH) ในระหว่างการตรวจสอบบล็อก ด้วยเหตุนี้ ผู้โจมตีจึงสามารถสร้างบล็อกที่ใช้ประโยชน์จากช่องว่างทั้งสองนี้ ผ่านการตรวจสอบของ Zebra แต่ล้มเหลวบน zcashd และทำให้เกิดการแยกเชน

ปัญหาหลักที่สาม (GHSA-gq4h-3grw-2rhv) เกิดขึ้นเนื่องจากการแก้ไข sighash ก่อนหน้านี้ทิ้งข้อมูลเก่าไว้ในพื้นที่จัดเก็บชั่วคราว (buffer) ที่สามารถอ่านได้ผ่าน C++ foreign function interface ของ Zebra 

ผู้โจมตีสามารถใช้ประโยชน์จากสิ่งนี้โดยใช้ลายเซ็นที่ถูกต้องเพื่อเติม buffer ด้วยข้อมูลที่ถูกต้อง จากนั้นส่งธุรกรรมที่สองพร้อมประเภท hash ที่ไม่ถูกต้องซึ่งจะผ่านการตรวจสอบโดยอาศัยข้อมูลที่เหลืออยู่ 

เพื่อแก้ไขปัญหานี้ Foundation ได้ใช้การแก้ไขชั่วคราวที่กระจาย buffer ด้วยไบต์สุ่มหากการตรวจสอบล้มเหลว ซึ่งป้องกันไม่ให้ระบบนำข้อมูลเก่ากลับมาใช้จนกว่าจะมีการแก้ไขแบบถาวร

บั๊กสองตัวสุดท้ายทำให้เกิดความขัดแย้งระหว่างส่วนอื่นๆ ของระบบ บั๊กหนึ่งทำให้เครือข่ายโอเวอร์โหลดโดยใช้หน่วยความจำมากเกินไปเมื่ออ่านข้อความ (GHSA-438q-jx8f-cccv) อีกตัวเป็นความไม่สอดคล้องของโค้ดเล็กน้อยในวิธีที่ Zebra ตรวจสอบธุรกรรมบางประเภท (GHSA-cwfq-rfcr-8hmp)

Foundation ระบุว่าปัญหาหลังนี้ไม่สามารถนำมาใช้โจมตีได้จริงในทางปฏิบัติ แต่ยังคงดำเนินการแพตช์เพื่อให้ตรงกับพฤติกรรมของ zcashd นักวิจัยด้านความปลอดภัย Sangsoo-osec ได้รับการยกย่องว่าเป็นผู้ค้นพบ 3 ใน 5 ปัญหา

การเปิดตัวครั้งนี้มาถูกเวลาหรือไม่?

ตามข้อมูลจาก DeFiLlama เดือนเมษายน 2026 เป็นเดือนที่ถูกแฮกมากที่สุดในประวัติศาสตร์คริปโต (ตามจำนวนเหตุการณ์) โดยได้รับความเสียหายจากการโจมตีแยกกันประมาณ 28 ถึง 30 ครั้ง โพสต์ X ของ CertiK เมื่อวันที่ 30 เมษายน ระบุว่ามูลค่าความเสียหายรวมอยู่ที่ประมาณ 651 ล้านดอลลาร์ ซึ่งสูงที่สุดนับตั้งแต่เดือนมีนาคม 2022 โดยไม่รวมเหตุการณ์ Bybit ในเดือนกุมภาพันธ์ 2025

สองเหตุการณ์รับผิดชอบต่อความเสียหายส่วนใหญ่ เมื่อวันที่ 1 เมษายน Drift Protocol สูญเสียเงินประมาณ 285 ล้านดอลลาร์จากปฏิบัติการ social engineering ที่เชื่อมโยงกับกลุ่ม Lazarus ของเกาหลีเหนือ และภายในวันที่ 18 เมษายน KelpDAO ได้รับความเสียหาย 293 ล้านดอลลาร์จากการโจมตีปลอมแปลงข้อความที่มุ่งเป้าไปที่ LayerZero cross-chain bridge ตามรายงานของ Cryptopolitan 

น่าสังเกตว่าการโจมตีในเดือนเมษายนไม่มีรายการใดที่มุ่งเป้าไปที่ Zcash โดยตรง แต่ปริมาณการโจมตีจำนวนมากทั่วทุกเชนสะท้อนให้เห็นว่าเหตุใด Foundation จึงเลือกที่จะระบุว่าการอัปเดต Zebra เป็น "critical" และผลักดันให้นำไปใช้ทันที

สิ่งที่ผู้ดูแลโหนด Zcash ควรทำ

Foundation แนะนำให้ผู้ดูแลระบบทุกรายอัปเกรดเป็น Zebra 4.4.0 ทันที เนื่องจากการเปิดตัวนี้ไม่ได้นำการเปลี่ยนแปลงสำคัญอื่นๆ มานอกเหนือจากการแก้ไขด้านความปลอดภัย 

ผู้ดูแลโหนดที่ใช้เวอร์ชันเก่ายังคงเผชิญกับช่องโหว่ทั้ง 5 รายการ รวมถึงการหยุดค้นหาบล็อกที่ต้องการเพียงการเชื่อมต่อที่เป็นอันตรายเพียงครั้งเดียวในการดำเนินการ

ZEC ซื้อขายที่ $377.46 ณ เวลาที่เขียน ตามข้อมูลของ CoinMarketCap โดยมีมูลค่าตลาด 6.28 พันล้านดอลลาร์

หากคุณต้องการจุดเข้า DeFi คริปโตที่สงบกว่าโดยปราศจากกระแสฮือฮาตามปกติ เริ่มต้นด้วยวิดีโอฟรีนี้