Zcash behebt kritische Fehler, da Krypto-Hacks in einem Monat 651 Millionen US-Dollar erreichten

Heute, am 2. Mai 2026, hat die Zcash Foundation gerade Zebra 4.4.0 veröffentlicht und alle Knotenbetreiber aufgefordert, sofort ein Upgrade durchzuführen, nachdem mehrere Sicherheitslücken behoben wurden, darunter mehrere, die den Konsens des Netzwerks hätten spalten können.

Der Patch kommt, da der April als der bisher schlimmste Monat für Krypto-Exploits endet. Das Blockchain-Sicherheitsunternehmen CertiK bestätigte branchenweit einen Gesamtverlust von rund 651 Millionen US-Dollar.

Welche Art von Zcash-Fehlern behebt Zebra 4.4.0?

Das Update behebt fünf separate Schwachstellen in Zebra, der Rust-basierten Zcash-Knotenimplementierung, die von der Zcash Foundation entwickelt wurde. Drei der Fehler sind konsenskritisch, was bedeutet, dass Angreifer sie hätten ausnutzen und Zebra-Knoten dazu bringen können, Transaktionen zu akzeptieren, die ältere zcashd-Clients ablehnen würden, wodurch das Netzwerk gespalten wurde.

Das schwerwiegendste Problem (GHSA-28xj-328h-72vm) ermöglichte es einem Remote-Hacker, einen Knoten mit nur einer Verbindung dauerhaft daran zu hindern, neue Blöcke zu entdecken. Der Angriff kombinierte drei Schwachstellen in der Art und Weise, wie Zebra Informationen teilte und herunterlud.

Laut Mitteilung der Zcash Foundation führte der Exploit zu „null Fehlverhaltenswerten, null Sperren und null Verbindungsabbrüchen“ und machte ihn somit für Standardüberwachungstools unsichtbar.

Ein zweiter Fehler (GHSA-jv4h-j224-23cc) führte außerdem dazu, dass Zebra nicht mehr zählen konnte, wie viele Signaturen sich in einem Transaktionsblock befanden (normalerweise zählte er weniger als das 20.000-Sigop-Blocklimit).

Anscheinend ignorierte das System von Zebra während der Blockvalidierung zwei bestimmte Arten von Skripten (scriptSig der Coinbase-Eingabe und P2SH-Signaturen). Aus diesem Grund könnte ein Angreifer einen Block erstellen, der beide Lücken ausnutzt, die Schecks von Zebra besteht, aber bei zcashd scheitert und einen Kettensplit erzeugt.

Das dritte große Problem (GHSA-gq4h-3grw-2rhv) trat aufgrund eines früheren Sighash-Fixes auf, der veraltete Daten in einem temporären Speicherbereich (Puffer) zurückließ, der über die C++-Fremdfunktionsschnittstelle von Zebra lesbar war.

Daher könnte ein Angreifer dies ausnutzen, indem er eine gültige Signatur verwendet, um den Puffer mit korrekten Informationen zu füllen, und dann eine zweite Transaktion mit einem ungültigen Hash-Typ einsendet, die die Überprüfung basierend auf den verbleibenden Daten bestehen würde.

Um dieses Problem zu beheben, hat die Foundation einen temporären Fix angewendet, der den Puffer mit zufälligen Bytes verstreut, wenn eine Prüfung fehlschlägt, und so verhindert, dass das System alte Informationen wiederverwendet, bis ein permanenter Fix bereitgestellt wird.

Die letzten beiden Fehler führten zu Meinungsverschiedenheiten zwischen anderen Teilen des Systems. Ein Fehler überlastete das Netzwerk, indem es beim Lesen von Nachrichten zu viel Speicher verbrauchte (GHSA-438q-jx8f-cccv). Der andere Grund war eine geringfügige Codierungsdiskrepanz bei der Art und Weise, wie Zebra bestimmte Transaktionen überprüfte (GHSA-cwfq-rfcr-8hmp).

Die Stiftung stellte fest, dass Letzteres praktisch nicht ausnutzbar war, hat es aber dennoch gepatcht, um es an das Verhalten von zcashd anzupassen. Dem Sicherheitsforscher Sangsoo-osec wurde die Entdeckung von drei der fünf Probleme zugeschrieben.

Hätte die Veröffentlichung zu einem besseren Zeitpunkt kommen können?

Laut DeFiLlama war der April 2026 der am häufigsten gehackte Monat in der Geschichte der Kryptowährung (gemessen an der Anzahl der Vorfälle), in dem es schätzungsweise 28 bis 30 einzelne Angriffe gab. Der X-Beitrag von CertiK vom 30. April bezifferte die Gesamtverluste auf etwa 651 Millionen US-Dollar, den höchsten Wert seit März 2022, ohne den Bybit-Verstoß im Februar 2025.

Für den Großteil des Schadens waren zwei Vorfälle verantwortlich. Am 1. April verlor Drift Protocol durch eine Social-Engineering-Operation im Zusammenhang mit der nordkoreanischen Lazarus-Gruppe etwa 285 Millionen US-Dollar. Laut Cryptopolitan hatte KelpDAO bis zum 18. April einen eigenen Nachrichten-Spoofing-Exploit im Wert von 293 Millionen US-Dollar erlitten, der auf eine LayerZero-Cross-Chain-Brücke abzielte.

Bemerkenswerterweise zielte keiner der Exploits im April direkt auf Zcash ab. Aber die schiere Menge an Angriffen über Ketten hinweg spiegelt wider, warum sich die Stiftung dafür entschieden hat, das Zebra-Update als „kritisch“ einzustufen und auf eine sofortige Einführung zu drängen.

Was Zcash-Knotenbetreiber tun sollten

Die Stiftung rät allen Betreibern, sofort auf Zebra 4.4.0 zu aktualisieren, da die Veröffentlichung über die Sicherheitsfixes hinaus keine weiteren wesentlichen Änderungen mit sich bringt.

Knotenbetreiber, die ältere Versionen ausführen, bleiben allen fünf Schwachstellen ausgesetzt, einschließlich des Block-Discovery-Stopps, der nur eine einzige böswillige Verbindung zur Ausführung erfordert.

Laut CoinMarketCap wurde ZEC zum Zeitpunkt des Schreibens bei 377,46 US-Dollar gehandelt, mit einer Marktkapitalisierung von 6,28 Milliarden US-Dollar.