يعزز المطورون أمان Zcash من خلال إصلاح العديد من عمليات الاستغلال الخطيرة في البنية التحتية الأساسية

جدول المحتويات تم تصحيح الثغرات الأمنية في Zcash عبر تطبيقين للعقدة الكاملة بعد الكشف الأمني ​​المنسق. في 17 أبريل 2026، أصدر Zcash Open Development Lab إصدار zcashd v6.12.1، بينما أصدرت مؤسسة Zcash إصدار Zebra v4.3.1. أبلغ الباحث الأمني ​​Alex "Scalar" Sol عن المشكلات في 4 أبريل 2026. وتمت معالجة أربع نقاط ضعف، تغطي خطأ تعطل العقدة، وفجوة إنفاذ الإجماع، وتجاوز المحاسبة الدوارة. لم يتم اختراق أموال المستخدمين، ولم يحدث أي تضخم في العرض في ZEC في أي وقت. كان الخطأ الأكثر قابلية للاستغلال بشكل مباشر هو تعطل معاملة Orchard الموجود في كل من zcashd وZebra. يمكن أن تؤدي المعاملة المعدة بتشفير مفتاح عشوائي مكون من أصفار بالكامل إلى تعطل أي عقدة تقوم بمعالجتها على الفور. قد يؤدي البث المتكرر لمثل هذه المعاملة إلى منع العقد من المشاركة في الشبكة بشكل فعال. لم يتم العثور على أي معاملات تؤدي إلى هذا الشرط على شبكة Zcash الرئيسية قبل التصحيح. وكانت هناك أيضًا فجوة إنفاذية ذات صلة بين التطبيقين. قامت Zebra بالفعل بفرض متطلبات البروتوكول على المفاتيح العامة سريعة الزوال ضمن إجراءات Orchard، لكن zcashd لم تفعل ذلك. وهذا يعني أنه يمكن قبول المعاملة الحرفية بواسطة zcashd بينما يتم رفضها بواسطة Zebra. كان من الممكن أن تؤدي مثل هذه المعاملة إلى فرض شوكة سلسلة مرئية بين العقد التي تقوم بتشغيل عملاء مختلفين. قد يؤدي خطأ منفصل في zcashd، تم تقديمه مع الإصدار 5.10.0 في أغسطس 2024، إلى تعطيل حساب الباب الدوار في ظل ظروف معينة. قد يؤدي تلقي رأس كتلة مكرر من أحد الأقران إلى إعادة تعيين تتبع رصيد التجمع بصمت إلى القيمة الخالية. يمكن أن تنشأ هذه الحالة من السلوك العادي لشبكة نظير إلى نظير، وليس فقط من الهجوم المتعمد. يتتبع الباب الدوار أرصدة ZEC عبر مجمعات القيمة المحمية والشفافة ويعمل كطبقة أمان مهمة. ومع ذلك، لم يكن من الممكن استغلال هذا الخطأ بشكل مستقل لسرقة ZEC أو تضخيمه. وأكد الكشف الرسمي أن “استغلالها لسرقة الأموال سيتطلب ثغرة منفصلة ومستقلة في الرصيد فوقها”. الكشف الأمني: لقد أصدرنا الإصدار 6.12.1 من zcashd، وأصدرت مؤسسة Zcash الإصدار 4.3.1 من Zebra، لمعالجة أربع نقاط ضعف - بما في ذلك خطأ تشفير إجراء Orchard الذي قد يؤدي إلى تعطل العقد ومشكلة انقسام الإجماع ذات الصلة بين العميلين. مجمعات التعدين… — Zcash Open Development Lab (@zodl_co) 17 أبريل 2026 أي انتهاك للباب الدوار الناتج سيكون أيضًا مرئيًا للعامة باعتباره شذوذًا في السلسلة يمكن اكتشافه. لم يحدث مثل هذا الوضع الشاذ على شبكة Zcash الرئيسية قبل نشر الإصلاح. تناول مختبر Zcash Open Development Lab الكشف مباشرةً، قائلًا: "مجموعات التعدين التي تمثل الغالبية العظمى من قوة تجزئة الشبكة، والمشغل الأساسي الذي يقوم بتشغيل Zebra في إنتاج التعدين، نشرت تصحيحات قبل هذا الكشف." قام مهندسا ZODL، كريس نوتيكومب ودايرا-إيما هوبوود، بتأليف تصحيحات zcashd ومراجعة عمل بعضهما البعض. تناولت Nuttycombe حادثة Orchard، والفجوة في التنفيذ، والخطأ المحاسبي في الباب الدوار. قام هوبوود بتأليف تصحيحات تقوية لسلوك تجاوز عدد صحيح غير محدد وسلامة الاستثناء. تم الاتصال مباشرة بمجموعات التعدين ViaBTC، وLuxor، وF2Pool، وAntPool – التي تعمل كل منها بنظام zcashd – للتنسيق. قامت شركة Foundry، التي تدير شركة Zebra في إنتاج التعدين، بنشر تصحيحها أيضًا قبل الإصدار العام. قامت مؤسسة Conrado Gouvêa التابعة لمؤسسة Zcash بتطوير وتسليم رقعة Zebra بشكل منفصل. يضمن هذا التواصل الحفاظ على استقرار الشبكة طوال عملية الكشف بأكملها. يتضمن إصدار zcashd v6.12.1 أيضًا تغييرات أوسع نطاقًا تتجاوز إصلاحات الثغرات الأمنية الأساسية. تمت إضافة نقطة تفتيش قيمة توريد السلسلة عند تنشيط NU6.1 لتمكين اكتشاف الفساد في المستقبل. تمت إضافة وسائل حماية لتجاوز الأعداد الصحيحة عبر إجراءات تراكم رصيد المجمع في مسارات تعليمات برمجية متعددة. توفر هذه الإضافات طبقة دفاع إضافية ضد سيناريوهات استغلال حالة الحافة. يمثل هذا المجموعة الثانية من ثغرات Zcash التي تم الكشف عنها خلال شهر واحد. وفي X، صرح مختبر Zcash Open Development Lab: "ليس لدينا أي دليل على أنه تم استغلال أي من هذه الأخطاء. ولم تكن أموال المستخدم والخصوصية معرضة للخطر أبدًا، ولم يكن من الممكن حدوث تضخم في عرض ZEC." أبلغ Alex "Scalar" Sol أيضًا عن ثغرة التحقق من صحة Sprout في مارس 2026 من خلال نفس القنوات المنسقة. يجب على المستخدمين الذين يستخدمون zcashd أو Zebra الترقية إلى أحدث الإصدارات المصححة على الفور.