Zcash усуває критичні вразливості, тоді як криптозлами сягнули $651 млн за один місяць

Сьогодні, 2 травня 2026 року, Zcash Foundation щойно випустила Zebra 4.4.0, закликаючи всіх операторів вузлів негайно оновитися після усунення кількох вразливостей безпеки, зокрема тих, що могли спричинити розщеплення консенсусу мережі.

Патч виходить на тлі того, що квітень стає найгіршим місяцем для криптовалютних зломів на сьогодні. Блокчейн-компанія з безпеки CertiK підтвердила збитки в розмірі приблизно $651 мільйон по всій галузі.

Які вразливості Zcash усуває Zebra 4.4.0?

Оновлення усуває п'ять окремих вразливостей у Zebra — реалізації вузла Zcash на основі Rust, розробленій Zcash Foundation. Три з цих помилок є критичними для консенсусу, тобто зловмисники могли б їх використати, змусивши вузли Zebra приймати транзакції, які застарілі клієнти zcashd відхилили б, що призвело б до розщеплення мережі.

Найсерйозніша проблема (GHSA-28xj-328h-72vm) дозволяла віддаленому хакеру назавжди зупинити виявлення нових блоків вузлом лише за допомогою одного з'єднання. Атака поєднувала три слабкі місця у способі обміну та завантаження інформації в Zebra. 

Згідно з повідомленням Zcash Foundation, експлойт «не генерував жодного показника порушень, жодних блокувань і жодних відключень», що робило його невидимим для стандартних інструментів моніторингу.

Друга помилка (GHSA-jv4h-j224-23cc) також спричиняла в Zebra неправильний підрахунок кількості підписів усередині блоку транзакцій (зазвичай підрахунок виявлявся меншим за ліміт блоку в 20 000 sigop).

Як виявилося, система Zebra ігнорувала два специфічні типи скриптів (scriptSig вхідних даних Coinbase і підписи P2SH) під час валідації блоку. Через це зловмисник міг створити блок, що використовує обидва пропуски, проходячи перевірки Zebra, але не проходячи перевірку zcashd, що призводило б до розщеплення ланцюжка.

Третя серйозна проблема (GHSA-gq4h-3grw-2rhv) виникла через попереднє виправлення sighash, яке залишало застарілі дані в тимчасовій області зберігання (буфері), доступній для читання через інтерфейс зовнішніх функцій C++ у Zebra. 

Таким чином, зловмисник міг скористатися цим, використовуючи дійсний підпис для заповнення буфера правильною інформацією, а потім надіслати другу транзакцію з недійсним типом хешу, яка б пройшла верифікацію на основі залишених даних. 

Для вирішення цієї проблеми Foundation застосувала тимчасове виправлення, яке заповнює буфер випадковими байтами у разі невдалої перевірки, тим самим запобігаючи повторному використанню системою старої інформації до розгортання постійного виправлення.

Дві останні помилки спричиняли розбіжності між іншими частинами системи. Одна помилка перевантажувала мережу, змушуючи її використовувати надто багато пам'яті під час читання повідомлень (GHSA-438q-jx8f-cccv). Інша була незначною розбіжністю в коді щодо того, як Zebra верифікувала певні транзакції (GHSA-cwfq-rfcr-8hmp).

Foundation зазначила, що остання на практиці не піддавалася експлуатації, однак все одно виправила її для відповідності поведінці zcashd. Дослідник безпеки Sangsoo-osec отримав кредит за виявлення трьох із п'яти проблем.

Чи міг реліз вийти у кращий момент?

За даними DeFiLlama, квітень 2026 року став місяцем з найбільшою кількістю зломів в історії криптовалют (за кількістю інцидентів): сталося від 28 до 30 окремих атак. Публікація X від CertiK від 30 квітня зафіксувала загальні збитки приблизно в $651 мільйон — найвищий показник з березня 2022 року, не враховуючи злам Bybit у лютому 2025 року.

Дві події стали причиною більшості збитків. 1 квітня Drift Protocol втратив близько $285 мільйонів у результаті операції з соціальною інженерією, пов'язаної з північнокорейською групою Lazarus. До 18 квітня KelpDAO зазнав власного експлойту на $293 мільйони через підроблення повідомлень, спрямованого на кросчейн міст LayerZero, за даними Cryptopolitan. 

Примітно, що жоден із квітневих експлойтів безпосередньо не був спрямований проти Zcash. Однак величезна кількість атак по всіх ланцюжках пояснює, чому Foundation вирішила позначити оновлення Zebra як «критичне» та закликати до негайного впровадження.

Що мають зробити оператори вузлів Zcash

Foundation рекомендує всім операторам негайно оновитися до Zebra 4.4.0, оскільки реліз не вносить жодних інших суттєвих змін, окрім виправлень безпеки. 

Оператори вузлів, які використовують старіші версії, залишаються вразливими до всіх п'яти вразливостей, включно з зупинкою виявлення блоків, для виконання якої достатньо лише одного зловмисного підключення.

На момент написання статті ZEC торгувався на рівні $377,46, за даними CoinMarketCap, з ринковою капіталізацією $6,28 мільярда.

Якщо ви хочете знайти спокійнішу точку входу в DeFi-криптовалюту без зайвого ажіотажу, почніть з цього безкоштовного відео.