Zcash修補重大漏洞，加密貨幣駭客攻擊單月損失達6.51億美元

今日（2026年5月2日），Zcash基金會剛發布Zebra 4.4.0，在修復多個安全漏洞後，敦促所有節點營運商立即升級，其中數個漏洞原本可能導致網絡共識分裂。

此次補丁發布之際，4月份成為迄今為止加密貨幣漏洞攻擊最嚴重的月份。區塊鏈安全公司CertiK確認業界總損失約達6.51億美元。

Zebra 4.4.0修復了哪些Zcash漏洞？

此次更新修復了Zebra中五個獨立的安全漏洞，Zebra是由Zcash基金會開發的基於Rust語言的Zcash節點實作。其中三個漏洞屬於共識關鍵型漏洞，意味著攻擊者一旦加以利用，可使Zebra節點接受舊版zcashd客戶端會拒絕的交易，從而導致網絡分裂。

最嚴重的問題（GHSA-28xj-328h-72vm）允許遠端駭客僅憑一個連接便永久阻止節點發現新區塊。該攻擊結合了Zebra在共享和下載資訊方式上的三個弱點。 

根據Zcash基金會的公告，此漏洞利用「產生零不當行為評分、零封禁、零斷線」，因此對標準監控工具完全不可見。

第二個漏洞（GHSA-jv4h-j224-23cc）導致Zebra無法正確計算交易區塊內的簽名數量（通常計數會低於20,000個sigop的區塊限制）。

原來，Zebra的系統在區塊驗證期間忽略了兩種特定類型的腳本（Coinbase輸入的scriptSig以及P2SH簽名）。因此，攻擊者可以創建一個同時利用這兩個漏洞的區塊，通過Zebra的檢查卻在zcashd上驗證失敗，從而造成鏈分裂。

第三個主要問題（GHSA-gq4h-3grw-2rhv）源於之前一次sighash修復，該修復在Zebra的C++外部函數接口中留下了可讀取的舊數據於臨時存儲區（緩衝區）中。 

因此，攻擊者可以利用這一點，先使用有效簽名將緩衝區填入正確資訊，然後發送第二筆含有無效雜湊類型的交易，使其基於殘留數據通過驗證。 

為解決此問題，基金會應用了一個臨時修復方案，若檢查失敗則以隨機字節覆蓋緩衝區，從而防止系統在永久修復部署之前重複使用舊數據。

最後兩個漏洞導致系統其他部分之間出現分歧。其中一個漏洞在讀取消息時佔用過多記憶體，使網絡超載（GHSA-438q-jx8f-cccv）。另一個則是Zebra驗證特定交易方式上的一個細微程式碼差異（GHSA-cwfq-rfcr-8hmp）。

基金會指出後者在實際情況下無法被利用，但仍予以修補以符合zcashd的行為。安全研究員Sangsoo-osec因發現五個問題中的三個而獲得致謝。

此次發布的時機是否恰到好處？

根據DeFiLlama的數據，2026年4月是加密貨幣史上遭受駭客攻擊次數最多的月份，估計發生了28至30次獨立攻擊。CertiK於4月30日發布的X帖文顯示，總損失約達6.51億美元，為2022年3月以來的最高水平（不含2025年2月的Bybit安全事件）。

兩起事件造成了大部分損失。4月1日，Drift Protocol在一場與北韓拉撒路集團（Lazarus Group）有關的社交工程攻擊中損失約2.85億美元。據Cryptopolitan報道，至4月18日，KelpDAO遭受了針對LayerZero跨鏈橋的消息偽造漏洞攻擊，損失達2.93億美元。 

值得注意的是，4月份的攻擊事件均未直接針對Zcash。但跨鏈攻擊的龐大規模正是基金會選擇將Zebra更新標記為「關鍵」並推動立即採用的原因。

Zcash節點營運商應採取的措施

基金會建議所有營運商立即升級至Zebra 4.4.0，因為此次發布除安全修復外未引入任何其他重大變更。 

仍運行舊版本的節點營運商面臨所有五個漏洞的風險，包括僅需單一惡意連接即可執行的區塊發現中斷攻擊。

撰文時，根據CoinMarketCap數據，ZEC交易價格為377.46美元，市值達62.8億美元。

如果您想以更平穩的方式進入DeFi加密貨幣領域，而無需承受慣常的炒作壓力，請從這段免費視頻開始。