زيكاش يُرقّع ثغرات حرجة في ظل وصول اختراقات العملات المشفرة إلى 651 مليون دولار في شهر واحد

اليوم، 2 مايو 2026، أصدر مؤسسة Zcash للتو Zebra 4.4.0، حاثّةً جميع مشغّلي العقد على الترقية الفورية بعد إصلاح ثغرات أمنية متعددة، من بينها عدة ثغرات كان من شأنها تشقيق إجماع الشبكة.

يأتي هذا التحديث في ختام أبريل الذي يُعدّ الشهر الأسوأ في عمليات استغلال التشفير حتى الآن. وأكدت شركة CertiK للأمن في مجال سلاسل الكتل خسائر إجمالية تبلغ نحو 651 مليون دولار على مستوى الصناعة.

ما نوع الثغرات التي يُعالجها Zebra 4.4.0 في Zcash؟

يعالج التحديث خمس ثغرات منفصلة في Zebra، وهو تطبيق عقدة Zcash المبني على Rust والذي طوّرته مؤسسة Zcash. ثلاثة من هذه الأخطاء حرجة من حيث الإجماع، مما يعني أن المهاجمين كان بإمكانهم استغلالها وجعل عقد Zebra تقبل معاملات كان عملاء zcashd القديمة سترفضها، مما يؤدي إلى تشقيق الشبكة.

المشكلة الأشد خطورة (GHSA-28xj-328h-72vm) أتاحت لمخترق عن بُعد إيقاف عقدة بشكل دائم عن اكتشاف كتل جديدة بمجرد اتصال واحد فقط. جمع الهجوم بين ثلاث نقاط ضعف في آلية مشاركة Zebra للمعلومات وتنزيلها. 

وفقًا لإشعار مؤسسة Zcash، أنتج الاستغلال "صفرًا في درجة السلوك السيئ، وصفرًا في الحظر، وصفرًا في قطع الاتصال"، مما جعله غير مرئي لأدوات المراقبة المعيارية.

خطأ ثانٍ (GHSA-jv4h-j224-23cc) جعل Zebra تفقد عدّ التوقيعات الموجودة داخل حظر المعاملات (إذ كانت تُحصي عادةً أقل من حد حظر 20,000 عملية توقيع).

يبدو أن نظام Zebra تجاهل نوعين محددين من السكريبتات (scriptSig لمدخل Coinbase، وتوقيعات P2SH) أثناء التحقق من صحة الحظر. وبسبب ذلك، كان بإمكان المهاجم إنشاء حظر يستغل الثغرتين معًا، فيجتاز فحوصات Zebra لكنه يفشل في zcashd مما يخلق انقسامًا في السلسلة.

المشكلة الرئيسية الثالثة (GHSA-gq4h-3grw-2rhv) نشأت بسبب إصلاح sighash سابق تسبّب في بقاء بيانات قديمة في منطقة تخزين مؤقت (buffer) قابلة للقراءة عبر واجهة الدوال الخارجية C++ في Zebra. 

وبالتالي، كان بإمكان المهاجم استغلال ذلك باستخدام توقيع صالح لملء المخزن المؤقت بمعلومات صحيحة، ثم إرسال معاملة ثانية بنوع hash غير صالح تجتاز التَحَقّق بناءً على البيانات المتبقية. 

لمعالجة هذا الأمر، طبّقت المؤسسة إصلاحًا مؤقتًا يملأ المخزن المؤقت ببايتات عشوائية في حال فشل الفحص، مما يمنع النظام من إعادة استخدام المعلومات القديمة ريثما يُنشر إصلاح دائم.

الخطآن الأخيران تسبّبا في خلافات بين أجزاء أخرى من النظام. أحدهما أثقل الشبكة بإجبارها على استخدام ذاكرة مفرطة عند قراءة الرسائل (GHSA-438q-jx8f-cccv). والآخر كان تناقضًا برمجيًا طفيفًا في طريقة تَحَقّق Zebra من بعض المعاملات (GHSA-cwfq-rfcr-8hmp).

أشارت المؤسسة إلى أن الأخير لم يكن قابلًا للاستغلال عمليًا، غير أنها مضت قدمًا في تصحيحه ليتوافق مع سلوك zcashd. وقد نُسب الفضل في اكتشاف ثلاثة من الثغرات الخمس إلى الباحث الأمني Sangsoo-osec.

هل كان بالإمكان إصدار هذا التحديث في وقت أفضل؟

وفقًا لـ DeFiLlama، كان أبريل 2026 الشهر الأكثر تعرضًا للاختراق في تاريخ التشفير (من حيث عدد الحوادث)، إذ شهد ما يُقدَّر بـ 28 إلى 30 هجومًا منفصلًا. وقدّر منشور X الصادر عن CertiK في 30 أبريل إجمالي الخسائر بنحو 651 مليون دولار، وهو الأعلى منذ مارس 2022، باستثناء خرق Bybit في فبراير 2025.

حادثتان كانتا مسؤولتين عن معظم الأضرار. في الأول من أبريل، خسر Drift Protocol نحو 285 مليون دولار في عملية هندسة اجتماعية مرتبطة بمجموعة Lazarus الكورية الشمالية. وبحلول 18 أبريل، تعرّضت KelpDAO لاستغلال تزوير رسائل بقيمة 293 مليون دولار استهدف جسر عبر السلاسل الخاص بـ LayerZero، وفقًا لـ Cryptopolitan. 

والجدير بالذكر أن أيًا من عمليات استغلال أبريل لم تستهدف Zcash مباشرةً. لكن الحجم الهائل من الهجمات عبر السلاسل يعكس سبب اختيار مؤسستها وصف تحديث Zebra بـ"الحرج" والدفع نحو تبنّيه الفوري.

ما الذي يجب على مشغّلي عقد Zcash فعله

تنصح المؤسسة جميع المشغّلين بالترقية إلى Zebra 4.4.0 فورًا، إذ لا يُدخل الإصدار أي تغييرات جوهرية أخرى تتجاوز إصلاحات أمن الحساب. 

يظل مشغّلو العقد الذين يشغّلون إصدارات أقدم معرّضين للثغرات الخمس كافة، بما فيها إيقاف اكتشاف الحظر الذي لا يتطلب سوى اتصال واحد خبيث لتنفيذه.

كان ZEC يُتداول عند 377.46 دولارًا وقت كتابة هذا المقال، وفقًا لـ CoinMarketCap، بقيمة سوقية تبلغ 6.28 مليار دولار.

إذا كنت تبحث عن نقطة دخول أهدأ إلى تشفير DeFi بعيدًا عن الضجيج المعتاد، ابدأ بهذا الفيديو المجاني.