Entwickler stärken die Sicherheit von Zcash, indem sie mehrere schwerwiegende Exploits in der Kerninfrastruktur beheben

Inhaltsverzeichnis Zcash-Schwachstellen wurden nach einer koordinierten Sicherheitsoffenlegung in zwei Full-Node-Implementierungen gepatcht. Am 17. April 2026 veröffentlichte das Zcash Open Development Lab zcashd v6.12.1, während die Zcash Foundation Zebra v4.3.1 veröffentlichte. Der Sicherheitsforscher Alex „Scalar“ Sol meldete die Probleme am 4. April 2026. Es wurden vier Schwachstellen behoben, die einen Fehler beim Knotenabsturz, eine Lücke bei der Konsensdurchsetzung und eine Umgehung der Drehkreuzbuchhaltung umfassten. Es wurden keine Benutzergelder gefährdet und es kam zu keinem Zeitpunkt zu einer Inflation des ZEC-Angebots. Der am direktesten ausnutzbare Fehler war ein Orchard-Transaktionsabsturz, der sowohl in zcashd als auch in Zebra auftrat. Eine manipulierte Transaktion mit einer zufälligen Schlüsselkodierung, die nur aus Nullen besteht, könnte jeden Knoten, der sie verarbeitet, sofort zum Absturz bringen. Die wiederholte Übertragung einer solchen Transaktion könnte Knoten wirksam daran hindern, am Netzwerk teilzunehmen. Vor dem Patch wurden im Zcash-Mainnet keine Transaktionen gefunden, die diese Bedingung auslösten. Auch zwischen den beiden Umsetzungen bestand eine entsprechende Durchsetzungslücke. Zebra hat bereits eine Protokollanforderung für kurzlebige öffentliche Schlüssel in Orchard-Aktionen durchgesetzt, zcashd jedoch nicht. Dies bedeutete, dass eine manipulierte Transaktion von zcashd akzeptiert und von Zebra abgelehnt werden konnte. Eine solche Transaktion hätte eine sichtbare Kettenverzweigung zwischen Knoten erzwingen können, auf denen verschiedene Clients laufen. Ein separater Fehler in zcashd, der mit v5.10.0 im August 2024 eingeführt wurde, könnte unter bestimmten Bedingungen die Drehkreuzabrechnung deaktivieren. Der Empfang eines doppelten Blockheaders von einem Peer könnte die Pool-Balance-Verfolgung stillschweigend auf Null zurücksetzen. Dieser Zustand kann durch normales Peer-to-Peer-Netzwerkverhalten und nicht nur durch absichtliche Angriffe verursacht werden. Das Drehkreuz verfolgt ZEC-Salden über abgeschirmte und transparente Wertpools und dient als wichtige Sicherheitsschicht. Dennoch konnte dieser Fehler nicht unabhängig ausgenutzt werden, um ZEC zu stehlen oder zu vergrößern. Die offizielle Offenlegung bestätigte, dass „die Nutzung zum Diebstahl von Geldern darüber hinaus eine separate, unabhängige Sicherheitslücke im Gleichgewicht erfordern würde.“ Sicherheitsoffenlegung: Wir haben zcashd v6.12.1 veröffentlicht, und die Zcash Foundation hat Zebra v4.3.1 veröffentlicht, die vier Schwachstellen behebt – darunter einen Orchard-Aktionscodierungsfehler, der Knoten zum Absturz bringen konnte, und ein damit verbundenes Problem der Konsensaufteilung zwischen den beiden Clients. Mining-Pools… – Zcash Open Development Lab (@zodl_co) 17. April 2026 Jeder daraus resultierende Verstoß gegen das Drehkreuz wäre auch als erkennbare Kettenanomalie öffentlich sichtbar gewesen. Vor der Bereitstellung des Fixes trat im Zcash-Mainnet keine solche Anomalie auf. Das Zcash Open Development Lab ging direkt auf die Offenlegung ein und erklärte: „Mining-Pools stellen einen Großteil der Hash-Leistung des Netzwerks dar, und der Hauptbetreiber, der Zebra in der Mining-Produktion betreibt, hat vor dieser Offenlegung Patches bereitgestellt.“ Die ZODL-Ingenieure Kris Nuttycombe und Daira-Emma Hopwood haben die zcashd-Patches verfasst und die Arbeit des anderen überprüft. Nuttycombe hat sich mit dem Orchard-Absturz, der Durchsetzungslücke und dem Buchhaltungsfehler bei Drehkreuzen befasst. Hopwood hat Härtungspatches für undefiniertes Verhalten bei Ganzzahlüberläufen und Ausnahmesicherheit verfasst. Die Mining-Pools ViaBTC, Luxor, F2Pool und AntPool – jeweils mit zcashd – wurden zur Koordination direkt kontaktiert. Foundry, das Zebra in der Bergbauproduktion einsetzt, hat seinen Patch ebenfalls vor der öffentlichen Veröffentlichung bereitgestellt. Conrado Gouvêa von der Zcash Foundation hat den Zebra-Patch separat entwickelt und bereitgestellt. Durch diese Maßnahmen wurde sichergestellt, dass die Netzwerkstabilität während des gesamten Offenlegungsprozesses gewahrt blieb. Die zcashd v6.12.1-Version enthielt auch umfassendere Härtungsänderungen, die über die Kernbehebungen der Schwachstellen hinausgingen. Bei der Aktivierung von NU6.1 wurde ein Wertkontrollpunkt für die Lieferkette hinzugefügt, um künftige Korruptionserkennung zu ermöglichen. Ganzzahlüberlaufschutz wurde in mehreren Codepfaden für die Routinen zur Akkumulation des Pool-Guthabens hinzugefügt. Diese Ergänzungen bieten eine zusätzliche Verteidigungsebene gegen Edge-Case-Ausnutzungsszenarien. Dies ist die zweite Gruppe von Zcash-Schwachstellen, die innerhalb eines Monats offengelegt wurden. Auf Alex „Scalar“ Sol meldete über dieselben koordinierten Kanäle auch die Schwachstelle bei der Sprout-Verifizierung im März 2026. Benutzer, die entweder zcashd oder Zebra ausführen, sollten sofort auf die neuesten gepatchten Versionen aktualisieren.