Zcash behebt kritische Schwächen, während Krypto-Hacks im Monat $651M erreichen

Heute, am 2. Mai 2026, hat die Zcash Foundation gerade Zebra 4.4.0 veröffentlicht und alle Node-Betreiber aufgefordert, sofort zu aktualisieren, nachdem mehrere Sicherheitsanfälligkeiten behoben wurden, einschließlich einiger, die das Konsens des Netzwerks hätten spalten können.
Der Patch kommt, während April als der schlimmste Monat für Krypto-Exploits bisher endet. Die Blockchain-Sicherheitsfirma CertiK bestätigte insgesamt etwa 651 Millionen Dollar an Verlusten in der Branche.
Welche Zcash-Schwächen behebt Zebra 4.4.0?
Das Update behebt fünf separate Schwachstellen in Zebra, der auf Rust basierenden Zcash-Node-Implementierung, die von der Zcash Foundation entwickelt wurde. Drei der Bugs sind konsenskritisch, was bedeutet, dass Angreifer sie ausnutzen und Zebra-Nodes dazu bringen konnten, Transaktionen zu akzeptieren, die ältere zcashd-Clients ablehnen würden, wodurch das Netzwerk gespalten wurde.
Das schwerwiegendste Problem (GHSA-28xj-328h-72vm) erlaubte es einem entfernten Hacker, einen Node dauerhaft daran zu hindern, neue Blöcke zu entdecken, mit nur einer Verbindung. Der Angriff kombinierte drei Schwächen darin, wie Zebra Informationen teilte und herunterlud.
Laut der Mitteilung der Zcash Foundation hat der Exploit "null Fehlverhaltenspunkte, null Sperren und null Verbindungen" produziert, wodurch er für Standard-Überwachungstools unsichtbar wurde.
Ein zweiter Bug (GHSA-jv4h-j224-23cc) ließ Zebra auch die Anzahl der Signaturen innerhalb eines Blocks von Transaktionen verlieren (es würde normalerweise weniger als das Limit von 20.000 Signaturen zählen).
Offensichtlich ignorierte Zebras System zwei spezifische Arten von Skripten (das scriptSig des Coinbase-Inputs und P2SH-Signaturen) während der Blockvalidierung. Dadurch konnte ein Angreifer einen Block erstellen, der beide Lücken ausnutzte, Zebras Prüfungen bestand, aber bei zcashd fehlschlug und eine Kettenaufspaltung verursachte.
Das dritte große Problem (GHSA-gq4h-3grw-2rhv) geschah aufgrund einer vorherigen Sighash-Behebung, die veraltete Daten in einem temporären Speicherbereich (Puffer) hinterließ, der über Zebras C++-Schnittstelle lesbar war.
Ein Angreifer könnte dies ausnutzen, indem er eine gültige Signatur verwendet, um den Puffer mit korrekten Informationen zu füllen, und dann eine zweite Transaktion mit einem ungültigen Hash-Typ sendet, die basierend auf den verbleibenden Daten die Überprüfung bestehen würde.
Um dies zu lösen, wandte die Foundation einen temporären Fix an, der den Puffer mit zufälligen Bytes streut, wenn eine Prüfung fehlschlägt, um zu verhindern, dass das System alte Informationen wiederverwendet, bis ein permanenter Fix bereitgestellt wird.
Die letzten beiden Bugs führten zu Meinungsverschiedenheiten zwischen anderen Teilen des Systems. Ein Bug überlastete das Netzwerk, indem es zu viel Speicher bei der Nachrichtenverarbeitung verwendete (GHSA-438q-jx8f-cccv). Der andere war eine geringfügige Programmierabweichung, wie Zebra bestimmte Transaktionen verifiziert hat (GHSA-cwfq-rfcr-8hmp).
Die Foundation stellte fest, dass letzterer nicht praktisch ausnutzbar war, ging aber trotzdem voran, um ihn zu patchen, um das Verhalten von zcashd anzugleichen. Der Sicherheitsforscher Sangsoo-osec wurde dafür anerkannt, drei der fünf Probleme entdeckt zu haben.
Konnte die Veröffentlichung nicht zu einem besseren Zeitpunkt kommen?
Laut DeFiLlama war April 2026 der am meisten gehackte Monat in der Krypto-Geschichte (nach Anzahl der Vorfälle) mit geschätzten 28 bis 30 separaten Angriffen. CertiK’s X-Post vom 30. April bezifferte die Gesamtverluste auf etwa 651 Millionen Dollar, die höchsten seit März 2022, ohne den Bybit-Bruch im Februar 2025.
Zwei Vorfälle waren für den Großteil des Schadens verantwortlich. Am 1. April verlor Drift Protocol etwa 285 Millionen Dollar in einer Social-Engineering-Operation, die mit der Lazarus-Gruppe aus Nordkorea in Verbindung steht. Bis zum 18. April hatte KelpDAO durch einen eigenen $293 Millionen teuren Message-Spoofing-Exploits, der sich auf eine LayerZero-Cross-Chain-Bridge richtete, gelitten, laut Cryptopolitan.
Bemerkenswerterweise zielten keine der Aprils-Exploits direkt auf Zcash ab. Aber die schiere Anzahl der Angriffe über mehrere Chains zeigt, warum die Foundation das Zebra-Update als "kritisch" bezeichnet und zur sofortigen Annahme gedrängt hat.
Was Zcash-Node-Betreiber tun sollten
Die Foundation rät allen Betreibern, sofort auf Zebra 4.4.0 zu aktualisieren, da die Veröffentlichung keine weiteren wesentlichen Änderungen über die Sicherheitsfixes hinaus einführt.
Node-Betreiber, die ältere Versionen ausführen, sind weiterhin allen fünf Schwachstellen ausgesetzt, einschließlich des Blockentdeckungsstopps, der nur eine einzige bösartige Verbindung benötigt, um ausgeführt zu werden.
ZEC wurde zum Zeitpunkt des Schreibens zu 377,46 Dollar gehandelt, laut CoinMarketCap, mit einer Marktkapitalisierung von 6,28 Milliarden Dollar.
Lies nicht nur Krypto-Nachrichten. Verstehe sie. Abonniere unseren Newsletter. Es ist kostenlos.