Zcash vá các lỗ hổng nghiêm trọng khi các vụ hack tiền mã hoá đạt 651 triệu USD trong một tháng

Hôm nay, ngày 2 tháng 5 năm 2026, Zcash Foundation vừa phát hành Zebra 4.4.0, kêu gọi tất cả các nhà vận hành node nâng cấp ngay lập tức sau khi vá nhiều lỗ hổng bảo mật, trong đó có một số lỗ hổng có thể gây chia tách đồng thuận mạng lưới.

Bản vá được phát hành khi tháng 4 khép lại với tư cách là tháng tồi tệ nhất từ trước đến nay về các vụ khai thác tiền mã hoá. Công ty bảo mật blockchain CertiK xác nhận tổng thiệt hại toàn ngành lên tới khoảng $651 triệu.

Zebra 4.4.0 vá những lỗ hổng nào của Zcash?

Bản cập nhật giải quyết năm lỗ hổng riêng biệt trong Zebra, bản triển khai node Zcash dựa trên Rust được xây dựng bởi Zcash Foundation. Ba trong số các lỗi này liên quan đến đồng thuận, nghĩa là kẻ tấn công có thể khai thác chúng và khiến các node Zebra chấp nhận các giao dịch mà các client zcashd cũ sẽ từ chối, từ đó gây chia tách mạng lưới.

Lỗ hổng nghiêm trọng nhất (GHSA-28xj-328h-72vm) cho phép một hacker từ xa vĩnh viễn ngăn một node khám phá các khối mới chỉ với một kết nối. Cuộc tấn công kết hợp ba điểm yếu trong cách Zebra chia sẻ và tải xuống thông tin. 

Theo thông báo của Zcash Foundation, lỗ hổng khai thác này "không tạo ra điểm vi phạm, không có lệnh cấm và không có ngắt kết nối nào," khiến nó vô hình đối với các công cụ giám sát tiêu chuẩn.

Lỗi thứ hai (GHSA-jv4h-j224-23cc) cũng khiến Zebra tính sai số lượng chữ ký bên trong một khối giao dịch (thường sẽ đếm ít hơn giới hạn 20,000-sigop của khối).

Rõ ràng, hệ thống của Zebra đã bỏ qua hai loại script cụ thể (scriptSig của đầu vào Coinbase và chữ ký P2SH) trong quá trình xác nhận khối. Vì vậy, kẻ tấn công có thể tạo ra một khối khai thác cả hai lỗ hổng, vượt qua kiểm tra của Zebra nhưng thất bại trên zcashd và tạo ra sự chia tách chuỗi.

Vấn đề lớn thứ ba (GHSA-gq4h-3grw-2rhv) xảy ra do một bản vá sighash trước đó để lại dữ liệu cũ trong vùng lưu trữ tạm thời (buffer) có thể đọc được thông qua giao diện hàm ngoài C++ của Zebra. 

Do đó, kẻ tấn công có thể khai thác điều này bằng cách sử dụng một chữ ký hợp lệ để điền thông tin chính xác vào buffer, sau đó gửi một giao dịch thứ hai với loại hash không hợp lệ nhưng vẫn vượt qua xác minh dựa trên dữ liệu còn sót lại. 

Để giải quyết vấn đề này, Foundation đã áp dụng một bản vá tạm thời rải các byte ngẫu nhiên vào buffer nếu một lần kiểm tra thất bại, từ đó ngăn hệ thống tái sử dụng thông tin cũ cho đến khi một bản vá vĩnh viễn được triển khai.

Hai lỗi cuối cùng gây ra sự bất đồng giữa các phần khác của hệ thống. Một lỗi làm quá tải mạng bằng cách sử dụng quá nhiều bộ nhớ khi đọc tin nhắn (GHSA-438q-jx8f-cccv). Lỗi còn lại là sự khác biệt nhỏ trong code về cách Zebra xác minh một số giao dịch nhất định (GHSA-cwfq-rfcr-8hmp).

Foundation lưu ý rằng lỗi sau không thể bị khai thác trong thực tế, nhưng vẫn tiến hành vá để khớp với hành vi của zcashd. Nhà nghiên cứu bảo mật Sangsoo-osec được ghi nhận là người phát hiện ba trong số năm vấn đề.

Liệu bản phát hành có đến vào thời điểm tốt hơn không?

Theo DeFiLlama, tháng 4 năm 2026 là tháng bị hack nhiều nhất trong lịch sử tiền mã hoá (tính theo số vụ), với ước tính 28 đến 30 cuộc tấn công riêng lẻ. Bài đăng trên X của CertiK vào ngày 30 tháng 4 ghi nhận tổng thiệt hại khoảng $651 triệu, mức cao nhất kể từ tháng 3 năm 2022, không tính vụ vi phạm Bybit vào tháng 2 năm 2025.

Hai sự cố chịu trách nhiệm cho phần lớn thiệt hại. Vào ngày 1 tháng 4, Drift Protocol mất khoảng $285 triệu trong một chiến dịch tấn công phi kỹ thuật có liên quan đến nhóm Lazarus của Triều Tiên. Đến ngày 18 tháng 4, KelpDAO đã chịu thiệt hại $293 triệu trong vụ khai thác giả mạo tin nhắn nhắm vào cầu nối cross-chain LayerZero, theo Cryptopolitan. 

Đáng chú ý, không có vụ khai thác nào trong tháng 4 nhắm trực tiếp vào Zcash. Nhưng khối lượng tấn công khổng lồ trên các chuỗi phản ánh lý do tại sao Foundation chọn gắn nhãn bản cập nhật Zebra là "nghiêm trọng" và thúc đẩy việc áp dụng ngay lập tức.

Các nhà vận hành node Zcash cần làm gì

Foundation khuyến nghị tất cả các nhà vận hành nâng cấp lên Zebra 4.4.0 ngay lập tức, vì bản phát hành không giới thiệu bất kỳ thay đổi đáng kể nào khác ngoài các bản vá bảo mật. 

Các nhà vận hành node đang chạy các phiên bản cũ vẫn còn bị phơi lộ trước cả năm lỗ hổng, bao gồm cả lỗi ngừng khám phá khối chỉ cần một kết nối độc hại duy nhất để thực thi.

ZEC được giao dịch ở mức $377,46 tại thời điểm viết bài, theo CoinMarketCap, với vốn hóa thị trường $6,28 tỷ.

Nếu bạn muốn một điểm vào DeFi tiền mã hoá bình tĩnh hơn mà không có sự cường điệu thông thường, hãy bắt đầu với video miễn phí này.