Zcash نے اہم خامیوں کو دور کیا کیونکہ کرپٹو ہیکس نے ایک ماہ میں 651M ڈالر تک پہنچ گئے

آج، 2 مئی، 2026 کو، Zcash فاؤنڈیشن نے ابھی Zebra 4.4.0 جاری کیا، تمام نوڈ آپریٹرز پر زور دیا کہ وہ سیکیورٹی کی متعدد خامیوں کو دور کرنے کے بعد فوری طور پر اپ گریڈ کریں، جن میں کئی ایسی ہیں جو نیٹ ورک کے اتفاق کو تقسیم کر سکتی ہیں۔

یہ پیچ اس وقت سامنے آیا جب اپریل اب تک کے کرپٹو کارناموں کے لیے بدترین مہینے کے طور پر بند ہوتا ہے۔ Blockchain سیکورٹی فرم CertiK نے پوری صنعت میں تقریباً 651 ملین ڈالر کے نقصانات کی تصدیق کی۔

Zebra 4.4.0 کس قسم کی Zcash خامیوں کو دور کرتا ہے؟

اپ ڈیٹ زیبرا میں پانچ الگ الگ کمزوریوں کو حل کرتی ہے، زکیش فاؤنڈیشن کے ذریعہ تیار کردہ زنگ پر مبنی Zcash نوڈ نفاذ۔ تین کیڑے متفقہ طور پر اہم ہیں، مطلب یہ ہے کہ حملہ آور ان کا استحصال کر سکتے تھے اور زیبرا نوڈس کو ایسے لین دین کو قبول کرنے پر مجبور کر سکتے تھے جنہیں لیگیسی zcashd کلائنٹس مسترد کر دیتے ہیں، اس طرح نیٹ ورک تقسیم ہو جاتا ہے۔

انتہائی سنگین مسئلہ (GHSA-28xj-328h-72vm) نے ایک ریموٹ ہیکر کو صرف ایک کنکشن کے ساتھ نئے بلاکس کی دریافت سے نوڈ کو مستقل طور پر روکنے کی اجازت دی۔ اس حملے نے تین کمزوریوں کو ملایا کہ کس طرح زیبرا نے معلومات شیئر اور ڈاؤن لوڈ کیں۔

Zcash فاؤنڈیشن کے نوٹس کے مطابق، استحصال نے "صفر غلط برتاؤ کا سکور، صفر پابندی، اور صفر منقطع پیدا کیا"، اس طرح اسے معیاری نگرانی کے آلات سے پوشیدہ بنا دیا گیا۔

ایک دوسرے بگ (GHSA-jv4h-j224-23cc) نے بھی زیبرا کو اس گنتی سے محروم کر دیا کہ لین دین کے بلاک کے اندر کتنے دستخط تھے (یہ عام طور پر 20,000-sigop بلاک کی حد سے کم شمار ہوں گے)۔

بظاہر، زیبرا کے سسٹم نے بلاک کی توثیق کے دوران دو مخصوص قسم کے اسکرپٹس (Coinbase ان پٹ کی اسکرپٹسگ، اور P2SH دستخط) کو نظر انداز کیا۔ اس کی وجہ سے، حملہ آور ایک بلاک بنا سکتا ہے جو دونوں فرقوں کا فائدہ اٹھاتا ہے، زیبرا کے چیک پاس کرتا ہے لیکن zcashd پر ناکام ہو جاتا ہے اور ایک سلسلہ تقسیم ہوتا ہے۔

تیسرا بڑا مسئلہ (GHSA-gq4h-3grw-2rhv) سابقہ ​​sighash فکس کی وجہ سے پیش آیا جس نے زیبرا کے C++ غیر ملکی فنکشن انٹرفیس میں ایک عارضی اسٹوریج ایریا (بفر) میں باسی ڈیٹا کو پڑھنے کے قابل چھوڑ دیا۔

اس طرح، ایک حملہ آور درست معلومات کے ساتھ بفر کو بھرنے کے لیے ایک درست دستخط کا استعمال کر کے اس کا فائدہ اٹھا سکتا ہے، اور پھر ایک غلط ہیش قسم کے ساتھ دوسری ٹرانزیکشن بھیج سکتا ہے جو بچ جانے والے ڈیٹا کی بنیاد پر تصدیق کو پاس کر دے گا۔

اس کو حل کرنے کے لیے، فاؤنڈیشن نے ایک عارضی فکس لاگو کیا جو چیک کے ناکام ہونے کی صورت میں بفر کو بے ترتیب بائٹس کے ساتھ بکھیر دیتا ہے، اس طرح سسٹم کو پرانی معلومات کو دوبارہ استعمال کرنے سے روکتا ہے جب تک کہ مستقل فکس کو تعینات نہیں کیا جاتا۔

آخری دو کیڑے سسٹم کے دوسرے حصوں کے درمیان اختلاف کا باعث بنے۔ پیغامات (GHSA-438q-jx8f-cccv) پڑھتے وقت ایک بگ نے نیٹ ورک کو بہت زیادہ میموری استعمال کرنے کی وجہ سے اوورلوڈ کر دیا۔ دوسرا ایک معمولی کوڈنگ میں تضاد تھا کہ کس طرح زیبرا نے بعض لین دین کی تصدیق کی (GHSA-cwfq-rfcr-8hmp)۔

فاؤنڈیشن نے نوٹ کیا کہ مؤخر الذکر عملی طور پر استحصال کے قابل نہیں تھا، لیکن پھر بھی اسے zcashd رویے سے مماثل بنانے کے لیے آگے بڑھا۔ سیکیورٹی محقق Sangsoo-osec کو پانچ میں سے تین مسائل دریافت کرنے کا سہرا دیا گیا۔

کیا رہائی بہتر وقت پر آ سکتی تھی؟

DeFiLlama کے مطابق، اپریل 2026 کرپٹو تاریخ میں سب سے زیادہ ہیک ہونے والا مہینہ تھا (واقعات کی تعداد کے لحاظ سے)، اندازے کے مطابق 28 سے 30 الگ الگ حملوں کا سامنا کرنا پڑا۔ 30 اپریل کو CertiK کی X پوسٹ نے کل نقصان تقریباً 651 ملین ڈالر ڈالا، جو مارچ 2022 کے بعد سب سے زیادہ ہے، فروری 2025 میں بائیبٹ کی خلاف ورزی کو چھوڑ کر۔

زیادہ تر نقصان کے لیے دو واقعات ذمہ دار تھے۔ 1 اپریل کو، Drift Protocol کو شمالی کوریا کے Lazarus Group سے منسلک سوشل انجینئرنگ آپریشن میں تقریباً 285 ملین ڈالر کا نقصان ہوا۔ کرپٹو پولیٹن کے مطابق، 18 اپریل تک، KelpDAO کو ایک LayerZero کراس چین پل کو نشانہ بناتے ہوئے اپنے $293 ملین پیغام رسانی کے استحصال کا سامنا کرنا پڑا۔

خاص طور پر، اپریل کے کسی بھی کارنامے نے براہ راست Zcash کو نشانہ نہیں بنایا۔ لیکن زنجیروں میں حملوں کا سراسر حجم اس بات کی عکاسی کرتا ہے کہ کیوں اس کی فاؤنڈیشن نے زیبرا اپ ڈیٹ کو "نازک" کے طور پر لیبل کرنے کا انتخاب کیا اور فوری طور پر اپنانے پر زور دیا۔

Zcash نوڈ آپریٹرز کو کیا کرنا چاہیے۔

فاؤنڈیشن تمام آپریٹرز کو مشورہ دیتی ہے کہ وہ فوری طور پر Zebra 4.4.0 پر اپ گریڈ کریں، کیونکہ ریلیز سیکیورٹی اصلاحات کے علاوہ کوئی دوسری اہم تبدیلیاں متعارف نہیں کراتی ہے۔

پرانے ورژن چلانے والے نوڈ آپریٹرز تمام پانچ کمزوریوں سے دوچار رہتے ہیں، بشمول بلاک ڈسکوری ہالٹ جس پر عمل درآمد کے لیے صرف ایک بدنیتی پر مبنی کنکشن کی ضرورت ہوتی ہے۔

ZEC نے تحریر کے وقت $377.46 پر تجارت کی، CoinMarketCap کے مطابق، $6.28 بلین کی مارکیٹ کیپ کے ساتھ۔