Zcash corrige des failles critiques alors que les hacks crypto atteignent 651 M$ en un mois

Aujourd'hui, le 2 mai 2026, la Fondation Zcash vient de publier Zebra 4.4.0, exhortant tous les opérateurs de nœuds à effectuer une mise à niveau immédiate après avoir corrigé plusieurs failles de sécurité, dont certaines auraient pu provoquer une scission du consensus du réseau.

Ce correctif intervient alors qu'avril se clôture comme le pire mois en matière d'exploits crypto à ce jour. La société de sécurité blockchain CertiK a confirmé des pertes totales d'environ 651 millions de dollars dans l'ensemble du secteur.

Quels types de failles Zcash Zebra 4.4.0 corrige-t-il ?

La mise à niveau résout cinq vulnérabilités distinctes dans Zebra, l'implémentation de nœud Zcash basée sur Rust, développée par la Fondation Zcash. Trois de ces bugs sont critiques pour le consensus, ce qui signifie que des attaquants auraient pu les exploiter pour faire accepter par les nœuds Zebra des transactions que les clients zcashd legacy auraient rejetées, provoquant ainsi une scission du réseau.

Le problème le plus grave (GHSA-28xj-328h-72vm) permettait à un hacker distant d'arrêter définitivement un nœud dans sa découverte de nouveaux blocs avec une seule connexion. L'attaque combinait trois faiblesses dans la façon dont Zebra partageait et téléchargeait les informations. 

Selon l'avis de la Fondation Zcash, l'exploit « n'a produit aucun score de mauvais comportement, aucun bannissement et aucune déconnexion », le rendant ainsi invisible aux outils de surveillance standard.

Un second bug (GHSA-jv4h-j224-23cc) faisait également perdre à Zebra le compte du nombre de signatures contenues dans un bloc de transactions (il comptait généralement moins que la limite de 20 000 sigops par bloc).

Apparemment, le système de Zebra ignorait deux types spécifiques de scripts (le scriptSig de l'entrée Coinbase et les signatures P2SH) lors de la validation des blocs. De ce fait, un attaquant pouvait créer un bloc exploitant ces deux lacunes, passant les vérifications de Zebra mais échouant sur zcashd, et ainsi provoquer une scission de la chaîne.

Le troisième problème majeur (GHSA-gq4h-3grw-2rhv) est survenu à cause d'un correctif sighash précédent qui avait laissé des données obsolètes dans une zone de stockage temporaire (buffer) lisible via l'interface de fonction étrangère C++ de Zebra. 

Ainsi, un attaquant pouvait exploiter cela en utilisant une signature valide pour remplir le buffer avec des informations correctes, puis envoyer une seconde transaction avec un type de hash invalide qui passerait la vérification sur la base des données résiduelles. 

Pour résoudre ce problème, la Fondation a appliqué un correctif temporaire qui disperse le buffer avec des octets aléatoires en cas d'échec d'une vérification, empêchant ainsi le système de réutiliser d'anciennes informations jusqu'au déploiement d'un correctif permanent.

Les deux derniers bugs ont provoqué des incohérences entre d'autres parties du système. L'un surchargeait le réseau en lui faisant utiliser trop de mémoire lors de la lecture des messages (GHSA-438q-jx8f-cccv). L'autre était une légère incohérence de codage dans la façon dont Zebra vérifiait certaines transactions (GHSA-cwfq-rfcr-8hmp).

La Fondation a noté que ce dernier n'était pas exploitable en pratique, mais a néanmoins procédé à son correctif pour correspondre au comportement de zcashd. Le chercheur en sécurité Sangsoo-osec est crédité pour la découverte de trois des cinq problèmes.

Cette publication aurait-elle pu arriver à un meilleur moment ?

Selon DeFiLlama, avril 2026 a été le mois le plus piraté de l'histoire de la crypto (en nombre d'incidents), avec environ 28 à 30 attaques distinctes. Le post X de CertiK du 30 avril a estimé les pertes totales à environ 651 millions de dollars, le niveau le plus élevé depuis mars 2022, hors la violation de Bybit en février 2025.

Deux incidents ont été responsables de la majeure partie des dommages. Le 1er avril, Drift Protocol a perdu environ 285 millions de dollars dans une opération d'ingénierie sociale liée au groupe Lazarus de Corée du Nord. Le 18 avril, KelpDAO avait subi son propre exploit de falsification de messages de 293 millions de dollars ciblant un bridge cross-chain LayerZero, selon Cryptopolitan. 

Fait notable, aucun des exploits d'avril ne ciblait directement Zcash. Mais le volume considérable d'attaques sur toutes les chaînes explique pourquoi sa Fondation a choisi de qualifier la mise à niveau de Zebra de « critique » et de pousser à son adoption immédiate.

Ce que les opérateurs de nœuds Zcash doivent faire

La Fondation conseille à tous les opérateurs d'effectuer immédiatement une mise à niveau vers Zebra 4.4.0, car cette version n'introduit aucun autre changement significatif au-delà des correctifs de sécurité. 

Les opérateurs de nœuds utilisant des versions plus anciennes restent exposés aux cinq vulnérabilités, y compris l'arrêt de découverte de blocs qui ne nécessite qu'une seule connexion malveillante pour être exécuté.

ZEC s'échangeait à 377,46 $ au moment de la rédaction, selon CoinMarketCap, avec une capitalisation boursière de 6,28 milliards de dollars.

Si vous souhaitez une entrée plus sereine dans la crypto DeFi sans le battage habituel, commencez par cette vidéo gratuite.