Zcash corrige des failles critiques alors que les piratages cryptographiques atteignent 651 millions de dollars en un mois

Aujourd'hui, 2 mai 2026, la Fondation Zcash vient de publier Zebra 4.4.0, exhortant tous les opérateurs de nœuds à effectuer la mise à niveau immédiatement après avoir corrigé plusieurs failles de sécurité, dont plusieurs qui auraient pu diviser le consensus du réseau.

Le correctif arrive alors qu’avril se termine comme le pire mois pour les exploits cryptographiques jusqu’à présent. La société de sécurité Blockchain CertiK a confirmé des pertes totales d'environ 651 millions de dollars dans l'ensemble du secteur.

Quels types de défauts de Zcash Zebra 4.4.0 corrige-t-il ?

La mise à jour résout cinq vulnérabilités distinctes dans Zebra, l'implémentation du nœud Zcash basée sur Rust et construite par la Fondation Zcash. Trois des bogues sont critiques pour le consensus, ce qui signifie que des attaquants auraient pu les exploiter et obliger les nœuds Zebra à accepter des transactions que les anciens clients zcashd rejetteraient, divisant ainsi le réseau.

Le problème le plus grave (GHSA-28xj-328h-72vm) permettait à un pirate informatique distant d'empêcher définitivement un nœud de découvrir de nouveaux blocs avec une seule connexion. L'attaque combinait trois faiblesses dans la manière dont Zebra partageait et téléchargeait les informations.

Selon l’avis de la Fondation Zcash, l’exploit « n’a produit aucun score de mauvaise conduite, aucune interdiction et aucune déconnexion », le rendant ainsi invisible pour les outils de surveillance standard.

Un deuxième bug (GHSA-jv4h-j224-23cc) a également fait perdre à Zebra le compte du nombre de signatures contenues dans un bloc de transactions (cela comptait généralement moins que la limite de bloc de 20 000 sigop).

Apparemment, le système de Zebra a ignoré deux types spécifiques de scripts (le scriptSig de l'entrée Coinbase et les signatures P2SH) lors de la validation du bloc. Pour cette raison, un attaquant pourrait créer un bloc exploitant les deux lacunes, réussissant les contrôles de Zebra mais échouant sur zcashd et créant une scission de chaîne.

Le troisième problème majeur (GHSA-gq4h-3grw-2rhv) est survenu en raison d'un précédent correctif sighash qui laissait des données obsolètes dans une zone de stockage temporaire (tampon) lisible via l'interface de fonction étrangère C++ de Zebra.

Ainsi, un attaquant pourrait exploiter cela en utilisant une signature valide pour remplir le tampon avec des informations correctes, puis envoyer une deuxième transaction avec un type de hachage invalide qui passerait la vérification basée sur les données restantes.

Pour résoudre ce problème, la Fondation a appliqué un correctif temporaire qui disperse le tampon avec des octets aléatoires si une vérification échoue, empêchant ainsi le système de réutiliser les anciennes informations jusqu'à ce qu'un correctif permanent soit déployé.

Les deux derniers bugs ont provoqué des désaccords entre d’autres parties du système. Un bug surchargeait le réseau en lui faisant utiliser trop de mémoire lors de la lecture des messages (GHSA-438q-jx8f-cccv). L'autre était une divergence mineure de codage dans la façon dont Zebra vérifiait certaines transactions (GHSA-cwfq-rfcr-8hmp).

La Fondation a noté que ce dernier n'était pas exploitable dans la pratique, mais a quand même procédé à un correctif pour qu'il corresponde au comportement de zcashd. Le chercheur en sécurité Sangsoo-osec a été reconnu pour avoir découvert trois des cinq problèmes.

La sortie aurait-elle pu intervenir à un meilleur moment ?

Selon DeFiLlama, avril 2026 a été le mois le plus piraté de l’histoire de la cryptographie (en nombre d’incidents), avec environ 28 à 30 attaques distinctes. La publication X de CertiK du 30 avril évalue les pertes totales à environ 651 millions de dollars, le plus élevé depuis mars 2022, à l'exclusion de la violation de Bybit en février 2025.

Deux incidents sont responsables de la plupart des dégâts. Le 1er avril, Drift Protocol a perdu environ 285 millions de dollars dans une opération d’ingénierie sociale liée au groupe nord-coréen Lazarus. Le 18 avril, KelpDAO avait subi son propre exploit d'usurpation de message de 293 millions de dollars ciblant un pont inter-chaînes LayerZero, selon Cryptopolitan.

Notamment, aucun des exploits d’avril ne ciblait directement Zcash. Mais le volume considérable d’attaques à travers les chaînes reflète la raison pour laquelle sa Fondation a choisi de qualifier la mise à jour de Zebra de « critique » et de pousser à son adoption immédiate.

Ce que les opérateurs de nœuds Zcash devraient faire

La Fondation conseille à tous les opérateurs de passer immédiatement à Zebra 4.4.0, car la version n’introduit aucun autre changement significatif au-delà des correctifs de sécurité.

Les opérateurs de nœuds exécutant des versions plus anciennes restent exposés aux cinq vulnérabilités, y compris l'arrêt de la découverte de blocs qui ne nécessite qu'une seule connexion malveillante pour s'exécuter.

ZEC s'échangeait à 377,46 $ au moment de la rédaction, selon CoinMarketCap, avec une capitalisation boursière de 6,28 milliards de dollars.