Zcash修补关键漏洞，加密货币黑客攻击单月损失达6.51亿美元

今日（2026年5月2日），Zcash基金会正式发布Zebra 4.4.0，在修复多个安全漏洞（包括数个可能导致网络共识分裂的漏洞）后，敦促所有节点运营商立即升级。

此次补丁发布之际，四月份已成为迄今为止加密货币漏洞攻击最严峻的月份。区块链安全公司CertiK确认，整个行业的总损失约达6.51亿美元。

Zebra 4.4.0修复了哪些Zcash漏洞？

此次更新修复了Zebra中五个独立漏洞。Zebra是由Zcash基金会开发的基于Rust语言的Zcash节点实现。其中三个漏洞属于共识关键级别，意味着攻击者可利用这些漏洞，使Zebra节点接受旧版zcashd客户端会拒绝的交易，从而导致网络分裂。

最严重的漏洞（GHSA-28xj-328h-72vm）允许远程黑客仅凭一个连接便能永久阻止节点发现新区块。该攻击结合了Zebra在信息共享与下载方式上的三个弱点。

据Zcash基金会的公告，该漏洞利用"产生零不良行为评分、零封禁、零断连"，因此对标准监控工具完全不可见。

第二个漏洞（GHSA-jv4h-j224-23cc）导致Zebra在统计交易区块内签名数量时出现误算（通常会低于20,000 sigop的区块上限）。

显然，Zebra的系统在区块验证期间忽略了两种特定类型的脚本（即Coinbase输入的scriptSig以及P2SH签名）。因此，攻击者可创建一个同时利用这两个漏洞的区块，使其通过Zebra的检查，却被zcashd拒绝，从而造成链分裂。

第三个主要漏洞（GHSA-gq4h-3grw-2rhv）源于此前一次sighash修复，该修复在临时存储区（缓冲区）中遗留了过时数据，这些数据可通过Zebra的C++外部函数接口被读取。

攻击者可利用此漏洞，先使用有效签名将缓冲区填充正确信息，再提交一笔使用无效哈希类型的第二笔交易，该交易将基于残留数据通过验证。

为解决此问题，基金会采用了一个临时修复方案：若检查失败，则以随机字节填充缓冲区，从而防止系统在永久修复部署前重用旧数据。

最后两个漏洞导致系统各部分之间产生分歧。其中一个漏洞在读取消息时占用过多内存，使网络过载（GHSA-438q-jx8f-cccv）。另一个则是Zebra在验证某些交易时存在的一处细微代码差异（GHSA-cwfq-rfcr-8hmp）。

基金会指出，后者在实际中并不可被利用，但仍进行了修复，以与zcashd的行为保持一致。安全研究员Sangsoo-osec因发现五个漏洞中的三个而获得致谢。

此次发布的时机是否恰到好处？

据DeFiLlama数据，2026年4月是加密货币史上遭受黑客攻击事件最多的月份（以事件数量计），共发生约28至30起独立攻击。CertiK在4月30日发布的X帖文显示，总损失约为6.51亿美元，为2022年3月以来最高纪录（不含2025年2月的Bybit事件）。

两起事件造成了大部分损失。4月1日，Drift Protocol在一起与朝鲜Lazarus Group有关的社会工程学攻击中损失约2.85亿美元。据Cryptopolitan报道，4月18日，KelpDAO遭遇一起针对LayerZero跨链桥的消息伪造漏洞攻击，损失达2.93亿美元。

值得注意的是，4月份没有任何漏洞攻击直接针对Zcash。但跨链攻击的庞大数量正是其基金会将Zebra更新定级为"关键"并推动立即采用的原因。

Zcash节点运营商应该怎么做

基金会建议所有运营商立即升级至Zebra 4.4.0，此次发布除安全修复外未引入其他重大变更。

运行旧版本的节点运营商仍面临全部五个漏洞的风险，包括仅需一个恶意连接即可执行的区块发现阻断攻击。

据CoinMarketCap数据，撰文时ZEC报价为377.46美元，市值为62.8亿美元。

如果您想以更平稳的方式切入DeFi加密货币领域，远离惯常的炒作喧嚣，不妨从这个免费视频开始。