Zcash corrige fallos críticos mientras los hackeos de criptomonedas alcanzan los 651 millones de dólares en un mes
Hoy, 2 de mayo de 2026, la Fundación Zcash acaba de lanzar Zebra 4.4.0, instando a todos los operadores de nodos a actualizar inmediatamente tras corregir múltiples fallos de seguridad, incluidos varios que podrían haber dividido el consenso de la red.
La actualización llega cuando abril finaliza como el peor mes hasta la fecha en cuanto a vulnerabilidades en el sector de las criptomonedas. La empresa de seguridad blockchain CertiK confirmó pérdidas totales de aproximadamente 651 millones de dólares en toda la industria.
¿Qué tipo de fallos Zcash corrige Zebra 4.4.0?
La actualización basada en Rust ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcashd heredados rechazarían, dividiendo así la red.
El problema más grave (GHSA-28xj-328h-72vm) permitió a un atacante remoto impedir permanentemente que un nodo descubriera nuevos bloques con una sola conexión. El ataque combinó tres vulnerabilidades en la forma en que Zebra compartía y descargaba información.
Según el comunicado de la Fundación Zcash , la vulnerabilidad "no generó ninguna puntuación por mala conducta, ninguna prohibición ni ninguna desconexión", lo que la hizo invisible para las herramientas de monitoreo estándar.
Un segundo error (GHSA-jv4h-j224-23cc) también provocó que Zebra perdiera la cuenta de cuántas firmas había dentro de un bloque de transacciones (normalmente contaba menos del límite de 20.000 sigop por bloque).
Al parecer, el sistema de Zebra ignoró dos tipos específicos de scripts (el scriptSig de la entrada de Coinbase y las firmas P2SH) durante la validación de bloques. Debido a esto, un atacante podría crear un bloque que explotara ambas vulnerabilidades, superando las comprobaciones de Zebra pero fallando en zcashd y provocando una bifurcación de la cadena.
El tercer problema importante (GHSA-gq4h-3grw-2rhv) se produjo debido a una corrección anterior de sighash que dejó datos obsoletos en un área de almacenamiento temporal (búfer) legible a través de la interfaz de funciones externas de C++ de Zebra.
Por lo tanto, un atacante podría explotar esta vulnerabilidad utilizando una firma válida para llenar el búfer con la información correcta y, a continuación, enviar una segunda transacción con un tipo de hash no válido que pasaría la verificación basándose en los datos restantes.
Para solucionar esto, la Fundación aplicó una solución temporal que dispersa el búfer con bytes aleatorios si falla una comprobación, impidiendo así que el sistema reutilice información antigua hasta que se implemente una solución permanente.
Los dos últimos errores provocaron discrepancias entre otras partes del sistema. Uno de ellos sobrecargó la red al hacer que utilizara demasiada memoria al leer mensajes (GHSA-438q-jx8f-cccv). El otro fue una pequeña discrepancia en la codificación de la forma en que Zebra verificaba ciertas transacciones (GHSA-cwfq-rfcr-8hmp).
La Fundación señaló que esta última vulnerabilidad no era explotable en la práctica, pero aun así procedió a corregirla para que coincidiera con el comportamiento de zcashd. Se le atribuyó al investigador de seguridad Sangsoo-osec el descubrimiento de tres de los cinco problemas.
¿Podría haber llegado el lanzamiento en un mejor momento?
Según DeFiLlama, abril de 2026 fue el mes con más ataques informáticos en la historia de las criptomonedas (por número de incidentesdent, sufriendo entre 28 y 30 ataques distintos. La publicación de CertiK en X el 30 de abril cifró las pérdidas totales en aproximadamente 651 millones de dólares, la cifra más alta desde marzo de 2022, excluyendo la brecha de Bybit en febrero de 2025.
Dosdentfueron responsables de la mayor parte del daño. El 1 de abril, Drift Protocol perdió alrededor de 285 millones de dólares en una operación de ingeniería social vinculada al Grupo Lazarus de Corea del Norte. Para el 18 de abril, KelpDAO había sufrido su propio ataque de suplantación de mensajes por valor de 293 millones de dólares dirigido a un puente entre cadenas de LayerZero, según Cryptopolitan.
Cabe destacar que ninguno de los ataques de abril tuvo como objetivo directo Zcash . Sin embargo, el gran volumen de ataques en diversas cadenas explica por qué su Fundación decidió calificar la actualización de Zebra como "crítica" e impulsar su adopción inmediata.
Qué deben hacer los operadores de nodos Zcash
La Fundación recomienda a todos los operadores que actualicen a Zebra 4.4.0 de inmediato, ya que esta versión no introduce ningún otro cambio significativo más allá de las correcciones de seguridad.
Los operadores de nodos que ejecutan versiones anteriores siguen expuestos a las cinco vulnerabilidades, incluida la detención del descubrimiento de bloques, que requiere solo una única conexión maliciosa para ejecutarse.
ZEC cotizaba a 377,46 dólares , según CoinMarketCap, con una capitalización de mercado de 6.280 millones de dólares.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Artículos Recomendados
