Zcash 修复了严重缺陷，加密货币黑客一个月内损失额达 6.51 亿美元

今天，2026 年 5 月 2 日，Zcash 基金会刚刚发布了 Zebra 4.4.0，敦促所有节点运营商在修复多个安全漏洞后立即升级，其中包括几个可能分裂网络共识的漏洞。

该补丁发布之际，四月份是迄今为止加密货币漏洞利用最严重的月份。区块链安全公司 CertiK 证实，整个行业的总损失约为 6.51 亿美元。

Zebra 4.4.0 修复了哪些 Zcash 缺陷？

该更新解决了 Zebra 中的五个单独漏洞，Zebra 是由 Zcash 基金会构建的基于 Rust 的 Zcash 节点实现。其中三个错误对共识至关重要，这意味着攻击者可能会利用它们并使 Zebra 节点接受传统 zcashd 客户端会拒绝的交易，从而分裂网络。

最严重的问题 (GHSA-28xj-328h-72vm) 允许远程黑客仅通过一个连接就永久阻止节点发现新块。该攻击结合了 Zebra 共享和下载信息方式的三个弱点。

根据 Zcash 基金会的通知，该漏洞“产生了零不当行为评分、零禁令和零断开连接”，从而使其对标准监控工具不可见。

第二个错误 (GHSA-jv4h-j224-23cc) 也使 Zebra 无法计算交易块内有多少签名（通常计数小于 20,000 sigop 块限制）。

显然，Zebra 的系统在块验证期间忽略了两种特定类型的脚本（Coinbase 输入的 scriptSig 和 P2SH 签名）。因此，攻击者可以利用这两个漏洞创建一个区块，通过 Zebra 的检查，但在 zcashd 上失败并造成链分裂。

第三个主要问题 (GHSA-gq4h-3grw-2rhv) 的发生是因为之前的ighash修复将过时的数据留在临时存储区域（缓冲区）中，这些数据可通过 Zebra 的 C++ 外部函数接口读取。

因此，攻击者可以通过使用有效签名用正确信息填充缓冲区来利用此漏洞，然后发送具有无效哈希类型的第二笔交易，该交易将通过基于剩余数据的验证。

为了解决这个问题，基金会应用了一个临时修复程序，如果检查失败，该修复程序会用随机字节分散缓冲区，从而防止系统重复使用旧信息，直到部署永久修复程序。

最后两个错误导致了系统其他部分之间的分歧。一个错误导致网络在读取消息时使用过多内存（GHSA-438q-jx8f-cccv），从而导致网络超载。另一个问题是 Zebra 验证某些交易的方式存在细微的编码差异 (GHSA-cwfq-rfcr-8hmp)。

基金会指出后者实际上不可利用，但仍然继续对其进行修补以匹配 zcashd 行为。安全研究员 Sangsoo-osec 被认为发现了这五个问题中的三个。

发布的时机是否会更好？

据 DeFiLlama 称，2026 年 4 月是加密货币历史上遭受黑客攻击最多的一个月（按事件数量计算），估计遭受了 28 至 30 起单独的攻击。 CertiK 在 4 月 30 日的 X 帖子中称，不包括 2025 年 2 月的 Bybit 泄露事件，总损失约为 6.51 亿美元，是 2022 年 3 月以来的最高水平。

两起事件造成了大部分损失。 4 月 1 日，Drift Protocol 在一项与朝鲜 Lazarus Group 相关的社会工程行动中损失了约 2.85 亿美元。 By April 18, KelpDAO had suffered its own $293 million message-spoofing exploit targeting a LayerZero cross-chain bridge, according to Cryptopolitan.

值得注意的是，4 月份的漏洞没有直接针对 Zcash。但跨链攻击的巨大数量反映了为什么其基金会选择将 Zebra 更新标记为“关键”并推动立即采用。

Zcash 节点运营商应该做什么

基金会建议所有运营商立即升级到 Zebra 4.4.0，因为除了安全修复之外，该版本没有引入任何其他重大更改。

运行旧版本的节点运营商仍然面临所有五个漏洞，包括仅需要单个恶意连接即可执行的块发现停止。

根据 CoinMarketCap 的数据，截至撰写本文时，ZEC 的交易价格为 377.46 美元，市值为 62.8 亿美元。