Zcash 紧急修复四个节点漏洞:用户资金未受影响
2026 年 4 月 17 日,Zcash 开发团队发布 zcashd v6.12.1 和 Zebra v4.3.1,修复了四个安全漏洞。其中最严重的一个可以让攻击者通过广播恶意交易直接崩溃网络节点。所有漏洞均未被利用,用户资金和代币供应量没有受到任何影响。
四个漏洞的具体情况
漏洞一:Orchard 操作编码崩溃
这是四个漏洞中最危险的。攻击者可以构造一笔 Orchard 交易,其中 rk 字段设置为全零值。任何收到这笔交易的 zcashd 或 Zebra 节点都会立刻崩溃。
这属于拒绝服务(DoS)攻击——虽然不会盗取资金,但如果大量节点同时崩溃,网络的可用性会严重下降。
漏洞二:zcashd 与 Zebra 的共识分歧
工程师发现 zcashd 和 Zebra 对某些交易的验证规则不一致:一个客户端接受的交易,另一个可能拒绝。这种分歧在特定条件下可能导致链分裂——两个节点实现各自维护不同的区块链版本。
链分裂是区块链网络最严重的风险之一,会导致双花攻击成为可能。
漏洞三:Turnstile 记账系统失效
Zcash 的 turnstile 机制用于追踪资金在不同屏蔽池之间的流动,确保总量守恒。这个漏洞可能导致 turnstile 的记账功能被绕过。
开发团队强调,这个漏洞本身不能直接创造或窃取资金,但它削弱了一层重要的安全检查。
漏洞四:整数溢出
池余额计算中存在未检查的整数运算,可能导致未定义行为。修复方式是增加了额外的验证检查。
修复时间线
| 日期 | 事件 |
|---|---|
| 4 月 6 日 | Shielded Labs 向 Zcash Foundation 报告漏洞 |
| 4 月 6-15 日 | 工程师审查、编写补丁并测试 |
| 4 月 17 日 | zcashd v6.12.1 和 Zebra v4.3.1 正式发布 |
| 4 月 17-18 日 | ViaBTC、F2Pool 等主要矿池完成更新 |
从报告到发布补丁,用了不到两周。主要矿池在补丁发布前就已提前部署,确保更新期间网络不受干扰。
用户需要做什么
节点运营者: 立即升级到 zcashd v6.12.1 或 Zebra v4.3.1。旧版本存在已知安全风险。
普通用户: 使用 Zodl 钱包、YWallet 等轻钱包的用户不受影响,无需操作。
如果你还在运行旧版本的 zcashd 或 Zebra,请立即升级。漏洞细节已经公开,继续使用旧版本意味着你的节点暴露在已知攻击面下。
两个月内的第二次修复
这是两个月内的第二次安全修复——上一次是 Sprout 漏洞。频率确实偏高,好在两次都是负责任披露,修复速度也够快。
Zcash 同时维护 zcashd 和 Zebra 两套节点实现,增加了安全审计的复杂度。NU7 升级后,Zebra 将成为唯一的共识节点实现,zcashd 会逐步退役——届��时安全审计的范围会缩小,类似的共识分歧问题也会从根本上消失。