تقوم Zcash بتصحيح العيوب الخطيرة حيث وصلت عمليات اختراق العملات المشفرة إلى 651 مليون دولار في شهر واحد
اليوم، 2 مايو 2026، أصدرت مؤسسة Zcash للتو Zebra 4.4.0، وحثت جميع مشغلي العقد على الترقية فورًا بعد إصلاح العديد من العيوب الأمنية، بما في ذلك العديد من العيوب التي كان من الممكن أن تؤدي إلى تقسيم إجماع الشبكة.
يأتي التصحيح مع إغلاق شهر أبريل باعتباره أسوأ شهر لاستغلال العملات المشفرة حتى الآن. أكدت شركة CertiK لأمن بلوكتشين ما يقرب من ٦٥١ مليون دولار من إجمالي الخسائر في جميع أنحاء الصناعة.
ما نوع عيوب Zcash التي أصلحها Zebra 4.4.0؟
يعمل التحديث على حل خمس نقاط ضعف منفصلة في Zebra، وهو تطبيق عقدة Zcash المستند إلى Rust والذي أنشأته مؤسسة Zcash. ثلاثة من الأخطاء تعتبر حاسمة للإجماع، مما يعني أنه كان من الممكن أن يستغلها المهاجمون ويجعلون عقد Zebra تقبل المعاملات التي قد يرفضها عملاء zcashd القدامى، وبالتالي تقسيم الشبكة.
سمحت المشكلة الأكثر خطورة (GHSA-28xj-328h-72vm) للمتسلل عن بعد بإيقاف العقدة بشكل دائم من اكتشاف كتل جديدة من خلال اتصال واحد فقط. جمع الهجوم بين ثلاث نقاط ضعف في كيفية مشاركة Zebra للمعلومات وتنزيلها.
وفقًا لإشعار مؤسسة Zcash، فإن الاستغلال "لم ينتج عنه أي درجة سوء سلوك، وصفر حظر، وصفر انقطاع في الاتصال"، مما يجعله غير مرئي لأدوات المراقبة القياسية.
كما أدى الخلل الثاني (GHSA-jv4h-j224-23cc) إلى فقدان Zebra لعدد التوقيعات الموجودة داخل كتلة من المعاملات (عادةً ما يكون عددها أقل من حد الكتلة البالغ 20000 سيجوب).
من الواضح أن نظام Zebra تجاهل نوعين محددين من البرامج النصية (توقيعات scriptSig الخاصة بإدخال Coinbase وتوقيعات P2SH) أثناء التحقق من صحة الكتلة. ولهذا السبب، يمكن للمهاجم إنشاء كتلة مستغلة كلا الثغرات، واجتياز شيكات Zebra ولكنه يفشل في zcashd ويؤدي إلى انقسام السلسلة.
حدثت المشكلة الرئيسية الثالثة (GHSA-gq4h-3grw-2rhv) بسبب إصلاح sighash سابق أدى إلى ترك البيانات القديمة في منطقة تخزين مؤقتة (مخزن مؤقت) قابلة للقراءة عبر واجهة الوظائف الخارجية C++ الخاصة بـ Zebra.
على هذا النحو، يمكن للمهاجم استغلال ذلك باستخدام توقيع صالح لملء المخزن المؤقت بالمعلومات الصحيحة، ثم إرسال معاملة ثانية بنوع تجزئة غير صالح من شأنه اجتياز عملية التحقق بناءً على البيانات المتبقية.
لحل هذه المشكلة، قامت المؤسسة بتطبيق إصلاح مؤقت يعمل على تشتيت المخزن المؤقت بالبايتات العشوائية في حالة فشل عملية التحقق، وبالتالي منع النظام من إعادة استخدام المعلومات القديمة حتى يتم نشر الإصلاح الدائم.
تسبب الخطأان الأخيران في حدوث خلافات بين الأجزاء الأخرى من النظام. أدى أحد الأخطاء إلى زيادة التحميل على الشبكة من خلال جعلها تستخدم قدرًا كبيرًا من الذاكرة عند قراءة الرسائل (GHSA-438q-jx8f-cccv). أما الآخر فكان وجود تناقض بسيط في الترميز في كيفية التحقق من Zebra لبعض المعاملات (GHSA-cwfq-rfcr-8hmp).
لاحظت المؤسسة أن الأخير لم يكن قابلاً للاستغلال عمليًا، لكنها استمرت في تصحيحه ليتوافق مع سلوك zcashd. يعود الفضل للباحث الأمني Sangsoo-osec في اكتشاف ثلاث من المشكلات الخمس.
هل كان من الممكن أن يأتي الإصدار في وقت أفضل؟
وفقًا لـ DeFiLlama، كان أبريل 2026 هو الشهر الأكثر تعرضًا للاختراق في تاريخ العملات المشفرة (من حيث عدد الحوادث)، حيث تعرض لما يقدر بـ 28 إلى 30 هجمة منفصلة. قدّر منشور X الخاص بـ CertiK في 30 أبريل إجمالي الخسائر بنحو 651 مليون دولار، وهو أعلى مستوى منذ مارس 2022، باستثناء اختراق Bybit في فبراير 2025.
وكان حادثان مسؤولان عن معظم الأضرار. في الأول من أبريل، خسرت شركة Drift Protocol حوالي 285 مليون دولار في عملية هندسة اجتماعية مرتبطة بمجموعة Lazarus Group في كوريا الشمالية. وبحلول 18 أبريل، عانت شركة KelpDAO من ثغرة انتحال الرسائل بقيمة 293 مليون دولار والتي استهدفت جسرًا عبر سلسلة LayerZero، وفقًا لشركة Cryptopolitan.
ومن الجدير بالذكر أن أيًا من ثغرات شهر أبريل لم تستهدف Zcash بشكل مباشر. لكن الحجم الهائل للهجمات عبر السلاسل يعكس سبب اختيار مؤسستها لوصف تحديث Zebra بأنه "بالغ الأهمية" والضغط من أجل اعتماده على الفور.
ما الذي يجب على مشغلي عقدة Zcash فعله
تنصح المؤسسة جميع المشغلين بالترقية إلى Zebra 4.4.0 على الفور، حيث أن الإصدار لا يقدم أي تغييرات مهمة أخرى تتجاوز الإصلاحات الأمنية.
يظل مشغلو العقد الذين يستخدمون الإصدارات الأقدم معرضين لجميع نقاط الضعف الخمس، بما في ذلك إيقاف اكتشاف الكتلة الذي يتطلب اتصالاً ضارًا واحدًا فقط للتنفيذ.
تم تداول ZEC بسعر 377.46 دولارًا في وقت كتابة هذا التقرير، وفقًا لـ CoinMarketCap، مع قيمة سوقية تبلغ 6.28 مليار دولار.