Zcash corrige falhas críticas enquanto ataques a criptomoedas atingem US$ 651 milhões em um mês
Hoje, 2 de maio de 2026, a Fundação Zcash acaba de lançar o Zebra 4.4.0, recomendando que todos os operadores de nós atualizem imediatamente após a correção de diversas falhas de segurança, incluindo várias que poderiam ter dividido o consenso da rede.
A atualização chega em um momento em que abril se encerra como o pior mês para explorações de criptomoedas até agora. A empresa de segurança blockchain CertiK confirmou perdas totais de aproximadamente US$ 651 milhões em todo o setor.
Que tipo de falhas Zcash o Zebra 4.4.0 corrige?
A atualização baseada em Rust, ZcashZcashZcash ZcashZcashZcashZcash ZcashZcashzcashzcash zcashzcashzcashzcash zcashzcashrejeitariam, dividindo assim a rede.
A vulnerabilidade mais grave (GHSA-28xj-328h-72vm) permitiu que um hacker remoto impedisse permanentemente um nó de descobrir novos blocos com apenas uma conexão. O ataque explorou três fragilidades na forma como a Zebra compartilhava e baixava informações.
Segundo o comunicado da Fundação Zcash , a exploração da vulnerabilidade "produziu zero pontos de mau comportamento, zero banimentos e zero desconexões", tornando-a invisível para as ferramentas de monitoramento padrão.
Um segundo bug (GHSA-jv4h-j224-23cc) também fez com que o Zebra perdesse a contagem de quantas assinaturas estavam dentro de um bloco de transações (normalmente, ele contava menos do que o limite de bloco de 20.000 assinaturas).
Aparentemente, o sistema da Zebra ignorou dois tipos específicos de scripts (o scriptSig da Coinbase e as assinaturas P2SH) durante a validação do bloco. Por causa disso, um atacante poderia criar um bloco explorando ambas as falhas, passando nas verificações da Zebra, mas falhando no zcashd e causando uma divisão na blockchain.
O terceiro problema grave (GHSA-gq4h-3grw-2rhv) ocorreu devido a uma correção anterior do sighash que deixou dados obsoletos em uma área de armazenamento temporário (buffer) legível através da interface de função externa C++ da Zebra.
Dessa forma, um atacante poderia explorar isso usando uma assinatura válida para preencher o buffer com informações corretas e, em seguida, enviar uma segunda transação com um tipo de hash inválido que passaria na verificação com base nos dados restantes.
Para resolver isso, a Fundação aplicou uma correção temporária que espalha bytes aleatórios no buffer caso uma verificação falhe, impedindo assim que o sistema reutilize informações antigas até que uma correção permanente seja implementada.
Os dois últimos erros causaram desentendimentos entre outras partes do sistema. Um deles sobrecarregava a rede, fazendo com que ela usasse muita memória ao ler mensagens (GHSA-438q-jx8f-cccv). O outro era uma pequena discrepância de código na forma como a Zebra verificava certas transações (GHSA-cwfq-rfcr-8hmp).
A Fundação observou que este último não era praticamente explorável, mas mesmo assim prosseguiu com a correção para corresponder ao comportamento zcashd. O pesquisador de segurança Sangsoo-osec foi creditado pela descoberta de três dos cinco problemas.
Será que o lançamento poderia ter ocorrido em melhor altura?
Segundo a DeFiLlama, abril de 2026 foi o mês com o maior número de ataques cibernéticos na história das criptomoedas (em número de incidentesdent, sofrendo cerca de 28 a 30 ataques distintos. A publicação da CertiK no X, em 30 de abril, estimou as perdas totais em aproximadamente US$ 651 milhões, o maior valor desde março de 2022, excluindo a violação de segurança da Bybit em fevereiro de 2025.
Doisdentforam responsáveis pela maior parte dos danos. Em 1º de abril, o Drift Protocol perdeu cerca de US$ 285 milhões em uma operação de engenharia social ligada ao grupo norte-coreano Lazarus. Em 18 de abril, a KelpDAO sofreu um prejuízo de US$ 293 milhões com um ataque de falsificação de mensagens contra uma ponte cross-chain da LayerZero, segundo o Cryptopolitan.
Notavelmente, nenhum dos ataques de abril teve como alvo direto Zcash . Mas o grande volume de ataques em diversas blockchains reflete o motivo pelo qual a Fundação Zebra optou por classificar a atualização como "crítica" e pressionar por sua adoção imediata.
O que os operadores de nós Zcash devem fazer
A Fundação recomenda que todos os operadores atualizem imediatamente para o Zebra 4.4.0, pois esta versão não introduz quaisquer outras alterações significativas além das correções de segurança.
Os operadores de nós que executam versões mais antigas permanecem expostos a todas as cinco vulnerabilidades, incluindo a interrupção por descoberta de blocos, que requer apenas uma única conexão maliciosa para ser executada.
o ZEC estava cotado a US$ 377,46 No momento da redação deste texto,
As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.
Artigos Recomendados
