Zcash corrige fallas críticas cuando los hackeos de criptomonedas alcanzaron los $651 millones en un mes

Hoy, 2 de mayo de 2026, la Fundación Zcash acaba de lanzar Zebra 4.4.0, instando a todos los operadores de nodos a actualizar inmediatamente después de corregir múltiples fallas de seguridad, incluidas varias que podrían haber dividido el consenso de la red.

El parche llega cuando abril cierra como el peor mes para los exploits criptográficos hasta el momento. La empresa de seguridad blockchain CertiK confirmó aproximadamente 651 millones de dólares en pérdidas totales en toda la industria.

¿Qué tipo de fallas de Zcash soluciona Zebra 4.4.0?

La actualización resuelve cinco vulnerabilidades distintas en Zebra, la implementación del nodo Zcash basado en Rust creada por la Fundación Zcash. Tres de los errores son críticos para el consenso, lo que significa que los atacantes podrían haberlos explotado y haber hecho que los nodos de Zebra aceptaran transacciones que los clientes zcashd heredados rechazarían, dividiendo así la red.

El problema más grave (GHSA-28xj-328h-72vm) permitió a un pirata informático remoto impedir permanentemente que un nodo descubriera nuevos bloques con una sola conexión. El ataque combinó tres debilidades en la forma en que Zebra compartía y descargaba información.

Según el aviso de la Fundación Zcash, el exploit "produjo cero puntajes de mala conducta, cero prohibiciones y cero desconexiones", haciéndolo invisible para las herramientas de monitoreo estándar.

Un segundo error (GHSA-jv4h-j224-23cc) también hizo que Zebra perdiera la cuenta de cuántas firmas había dentro de un bloque de transacciones (normalmente contaba menos del límite de bloque de 20.000 sigop).

Aparentemente, el sistema de Zebra ignoró dos tipos específicos de scripts (el scriptSig de entrada de Coinbase y las firmas P2SH) durante la validación del bloque. Debido a esto, un atacante podría crear un bloque aprovechando ambas brechas, pasando las comprobaciones de Zebra pero fallando en zcashd y creando una división de la cadena.

El tercer problema importante (GHSA-gq4h-3grw-2rhv) se debió a una solución de sighash anterior que dejaba datos obsoletos en un área de almacenamiento temporal (búfer) legible a través de la interfaz de función externa C++ de Zebra.

Como tal, un atacante podría aprovechar esto usando una firma válida para llenar el búfer con información correcta y luego enviar una segunda transacción con un tipo de hash no válido que pasaría la verificación basada en los datos sobrantes.

Para resolver esto, la Fundación aplicó una solución temporal que dispersa el búfer con bytes aleatorios si falla una verificación, evitando así que el sistema reutilice información antigua hasta que se implemente una solución permanente.

Los dos últimos errores provocaron desacuerdos entre otras partes del sistema. Un error sobrecargó la red al hacer que usara demasiada memoria al leer mensajes (GHSA-438q-jx8f-cccv). La otra fue una discrepancia menor en la codificación en la forma en que Zebra verificaba ciertas transacciones (GHSA-cwfq-rfcr-8hmp).

La Fundación notó que este último no era prácticamente explotable, pero aún así procedió a parchearlo para que coincidiera con el comportamiento de zcashd. Al investigador de seguridad Sangsoo-osec se le atribuyó el descubrimiento de tres de los cinco problemas.

¿Podría el lanzamiento haber llegado en mejor momento?

Según DeFiLlama, abril de 2026 fue el mes más pirateado en la historia de las criptomonedas (por número de incidentes), y se estima que sufrió entre 28 y 30 ataques distintos. La publicación X de CertiK del 30 de abril situó las pérdidas totales en aproximadamente 651 millones de dólares, las más altas desde marzo de 2022, excluyendo la violación de Bybit en febrero de 2025.

Dos incidentes fueron responsables de la mayor parte de los daños. El 1 de abril, Drift Protocol perdió alrededor de 285 millones de dólares en una operación de ingeniería social vinculada al Grupo Lazarus de Corea del Norte. Para el 18 de abril, KelpDAO había sufrido su propio exploit de suplantación de mensajes de 293 millones de dólares dirigido a un puente entre cadenas LayerZero, según Cryptopolitan.

En particular, ninguno de los exploits de abril apuntó directamente a Zcash. Pero el gran volumen de ataques a través de cadenas refleja por qué su Fundación decidió etiquetar la actualización de Zebra como “crítica” e impulsar su adopción inmediata.

Qué deben hacer los operadores de nodos de Zcash

La Fundación recomienda a todos los operadores que actualicen a Zebra 4.4.0 inmediatamente, ya que la versión no introduce ningún otro cambio significativo más allá de las correcciones de seguridad.

Los operadores de nodos que ejecutan versiones anteriores siguen expuestos a las cinco vulnerabilidades, incluida la interrupción del descubrimiento de bloques que requiere solo una única conexión maliciosa para ejecutarse.

ZEC cotizaba a 377,46 dólares en el momento de escribir este artículo, según CoinMarketCap, con una capitalización de mercado de 6.280 millones de dólares.