زکش آسیب‌پذیری‌های حیاتی را وصله می‌کند در حالی که هک‌های کریپتو در یک ماه به ۶۵۱ میلیون دلار رسید

امروز، ۱۴۰۵/۰۲/۱۲، بنیاد Zcash نسخه Zebra 4.4.0 را منتشر کرد و از همه اپراتورهای نود خواست که پس از رفع چندین نقص امنیتی، از جمله مواردی که می‌توانستند اجماع شبکه را تقسیم کنند، فوراً ارتقا دهند.

این وصله در حالی منتشر می‌شود که آوریل به بدترین ماه از نظر اکسپلویت‌های کریپتو تاکنون تبدیل شده است. شرکت امنیت بلاکچین CertiK زیان کل صنعت را تقریباً ۶۵۱ میلیون دلار تأیید کرد.

Zebra 4.4.0 چه نوع نقص‌هایی در Zcash را برطرف می‌کند؟

این به‌روزرسانی پنج آسیب‌پذیری جداگانه در Zebra، پیاده‌سازی نود Zcash مبتنی بر Rust که توسط بنیاد Zcash ساخته شده، را برطرف می‌کند. سه تا از این باگ‌ها از نظر اجماع حیاتی هستند، به این معنا که مهاجمان می‌توانستند از آن‌ها سوء استفاده کرده و نودهای Zebra را وادار کنند تراکنش‌هایی را بپذیرند که کلاینت‌های قدیمی zcashd رد می‌کردند و بدین ترتیب شبکه را تقسیم کنند.

جدی‌ترین مشکل (GHSA-28xj-328h-72vm) به یک هکر از راه دور اجازه می‌داد با تنها یک اتصال، یک نود را به‌طور دائمی از کشف بلاک‌های جدید متوقف کند. این حمله سه ضعف را در نحوه اشتراک‌گذاری و دانلود اطلاعات توسط Zebra با هم ترکیب کرد. 

طبق اطلاعیه بنیاد Zcash، این اکسپلویت «امتیاز رفتار نادرست صفر، ممنوعیت صفر و قطع اتصال صفر تولید کرد» و بنابراین برای ابزارهای نظارت استاندارد نامرئی بود.

یک باگ دوم (GHSA-jv4h-j224-23cc) همچنین باعث می‌شد Zebra تعداد امضاها در یک بلاک از تراکنش‌ها را اشتباه بشمارد (معمولاً کمتر از محدودیت ۲۰٬۰۰۰ sigop بلاک می‌شمرد).

ظاهراً سیستم Zebra در طول اعتبارسنجی بلاک، دو نوع خاص از اسکریپت (scriptSig ورودی Coinbase و امضاهای P2SH) را نادیده می‌گرفت. به همین دلیل، یک مهاجم می‌توانست بلاکی بسازد که از هر دو شکاف سوء استفاده کند، بررسی‌های Zebra را پشت سر بگذارد اما در zcashd شکست بخورد و یک انشعاب زنجیره ایجاد کند.

مشکل سوم اصلی (GHSA-gq4h-3grw-2rhv) به دلیل یک رفع قبلی sighash رخ داد که داده‌های قدیمی را در یک ناحیه ذخیره‌سازی موقت (بافر) قابل خواندن از طریق رابط تابع خارجی C++ در Zebra باقی گذاشت. 

بنابراین، یک مهاجم می‌توانست از این موضوع با استفاده از یک امضای معتبر برای پر کردن بافر با اطلاعات صحیح سوء استفاده کند، و سپس یک تراکنش دوم با نوع هش نامعتبر ارسال کند که بر اساس داده‌های باقیمانده از تاییدیه عبور می‌کرد. 

برای حل این مشکل، بنیاد یک رفع موقت اعمال کرد که در صورت شکست بررسی، بافر را با بایت‌های تصادفی پراکنده می‌کند و بدین ترتیب از استفاده مجدد سیستم از اطلاعات قدیمی تا زمان استقرار یک رفع دائمی جلوگیری می‌کند.

دو باگ آخر باعث اختلاف بین سایر بخش‌های سیستم شدند. یک باگ با مصرف بیش از حد حافظه هنگام خواندن پیام‌ها، شبکه را اضافه بار کرد (GHSA-438q-jx8f-cccv). دیگری یک مغایرت جزئی در کدنویسی در نحوه تأیید برخی تراکنش‌ها توسط Zebra بود (GHSA-cwfq-rfcr-8hmp).

بنیاد اشاره کرد که مورد اخیر در عمل قابل اکسپلویت نبود، اما همچنان پیش رفت تا آن را وصله کند تا با رفتار zcashd مطابقت داشته باشد. محقق امنیتی Sangsoo-osec به خاطر کشف سه تا از پنج مشکل مورد تقدیر قرار گرفت.

آیا این انتشار می‌توانست در زمان بهتری باشد؟

طبق گزارش DeFiLlama، آوریل ۲۰۲۶ هک‌شده‌ترین ماه در تاریخ کریپتو (بر اساس تعداد حوادث) بود و تقریباً ۲۸ تا ۳۰ حمله جداگانه را تجربه کرد. پست X CertiK در ۳۰ آوریل زیان کل را تقریباً ۶۵۱ میلیون دلار اعلام کرد، که بالاترین رقم از مارس ۲۰۲۲ است و نقض Bybit در فوریه ۲۰۲۵ را شامل نمی‌شود.

دو رویداد مسئول بیشتر خسارات بودند. در ۱ آوریل، Drift Protocol حدود ۲۸۵ میلیون دلار در یک عملیات مهندسی اجتماعی مرتبط با گروه Lazarus کره شمالی از دست داد. تا ۱۸ آوریل، KelpDAO نیز ۲۹۳ میلیون دلار در یک اکسپلویت جعل پیام که پل میان زنجیره‌ای (پل کراس‌ چین) LayerZero را هدف قرار داده بود متحمل شد، طبق گزارش Cryptopolitan. 

قابل توجه است که هیچ‌یک از اکسپلویت‌های آوریل مستقیماً Zcash را هدف قرار ندادند. اما حجم عظیم حملات در سراسر زنجیره‌ها نشان می‌دهد چرا بنیاد آن تصمیم گرفت به‌روزرسانی Zebra را «حیاتی» برچسب بزند و برای پذیرش فوری فشار بیاورد.

اپراتورهای نود Zcash باید چه کاری انجام دهند

بنیاد به همه اپراتورها توصیه می‌کند فوراً به Zebra 4.4.0 ارتقا دهند، زیرا این انتشار هیچ تغییر قابل توجه دیگری فراتر از رفع‌های امنیتی معرفی نمی‌کند. 

اپراتورهای نود که نسخه‌های قدیمی‌تر را اجرا می‌کنند در معرض همه پنج آسیب‌پذیری باقی می‌مانند، از جمله توقف کشف بلاک که برای اجرا تنها به یک اتصال مخرب نیاز دارد.

ZEC در زمان نگارش این مطلب طبق CoinMarketCap با قیمت ۳۷۷.۴۶ دلار معامله می‌شد و ارزش بازار آن ۶.۲۸ میلیارد دلار بود.

اگر می‌خواهید یک نقطه ورود آرام‌تر به کریپتو DeFi بدون هیاهوی معمول داشته باشید، با این ویدیوی رایگان شروع کنید.