开发人员通过修复核心基础设施中的多个严重漏洞来增强 Zcash 安全性

在协调安全披露后，Zcash 漏洞已在两个全节点实施中得到修补。 2026年4月17日，Zcash开放开发实验室发布了zcashd v6.12.1，而Zcash基金会发布了Zebra v4.3.1。安全研究员 Alex “Scalar” Sol 于 2026 年 4 月 4 日报告了这些问题。解决了四个漏洞，包括节点崩溃错误、共识执行差距和十字转门会计绕过。没有用户资金受到损害，并且任何时候都没有发生 ZEC 供应通胀。最直接可利用的错误是 zcashd 和 Zebra 中都存在 Orchard 事务崩溃。具有全零随机密钥编码的精心设计的交易可能会立即使处理它的任何节点崩溃。重复广播此类交易可以有效阻止节点参与网络。在补丁发布之前，Zcash 主网上没有发现触发此情况的交易。两种实施之间也存在相关的执行差距。 Zebra 已经对 Orchard 操作中的临时公钥实施了协议要求，但 zcashd 没有。这意味着精心设计的交易可以被 zcashd 接受，但会被 Zebra 拒绝。这样的交易可能会迫使运行不同客户端的节点之间出现可见的链分叉。 2024 年 8 月 v5.10.0 中引入的 zcashd 中的一个单独错误可能会在某些情况下禁用旋转门会计。从对等方接收重复的块头可能会默默地将池余额跟踪重置为空。这种情况可能是由普通的点对点网络行为引起的，而不仅仅是故意攻击。十字转门跟踪屏蔽和透明价值池中的 ZEC 平衡，并充当关键的安全层。即便如此，这个漏洞并不能单独被利用来窃取或夸大 ZEC。官方披露证实，“利用它窃取资金需要在其之上建立一个单独的、独立的余额漏洞。”安全披露：我们发布了 zcashd v6.12.1，Zcash 基金会发布了 Zebra v4.3.1，解决了四个漏洞 - 包括可能导致节点崩溃的 Orchard 操作编码错误以及两个客户端之间的相关共识分裂问题。矿池……——Zcash 开放开发实验室 (@zodl_co) 2026 年 4 月 17 日 任何由此产生的十字转门违规行为也将作为可检测的链异常被公开可见。在部署修复程序之前，Zcash 主网上没有发生此类异常情况。 Zcash 开放开发实验室直接回应了这一披露，并表示：“矿池代表了网络的绝大多数算力，并且在挖矿生产中运行 Zebra 的主要运营商在此次披露之前部署了补丁。” ZODL 工程师 Kris Nuttycombe 和 Daira-Emma Hopwood 编写了 zcashd 补丁并审查了彼此的工作。 Nuttycombe 解决了 Orchard 崩溃、执法差距和十字转门会计错误等问题。 Hopwood 为整数溢出未定义行为和异常安全编写了强化补丁。我们直接联系了 ViaBTC、Luxor、F2Pool 和 AntPool 矿池（均运行 zcashd）进行协调。在挖矿生产中运行 Zebra 的 Foundry 也在公开发布之前部署了其补丁。 Zcash 基金会的 Conrado Gouvêa 单独开发并交付了 Zebra 补丁。这种外展活动确保了在整个披露过程中保持网络稳定性。 zcashd v6.12.1 版本还包括除核心漏洞修复之外更广泛的强化更改。在 NU6.1 激活时添加了链供应值检查点，以启用未来的损坏检测。在多个代码路径中的池余额累积例程中添加了整数溢出保护。这些添加提供了针对边缘情况利用场景的额外防御层。这标志着一个月内披露的第二组 Zcash 漏洞。在 X 上，Zcash 开放开发实验室表示：“我们没有证据表明这些漏洞被利用。用户资金和隐私从未面临风险，也不可能出现 ZEC 供应膨胀。” Alex“Scalar”Sol 还通过相同的协调渠道报告了 2026 年 3 月的 Sprout 验证漏洞。运行 zcashd 或 Zebra 的用户应立即升级到最新的修补版本。