Zcash Foundation khẩn cấp phát hành Zebra 4.5.0: Sửa lỗ hổng cấp đồng thuận và khuyến nghị nâng cấp bắt buộc

Odaily Planet Daily đưa tin, Zcash Foundation đã phát hành bản cập nhật phiên bản 4.5.0 cho node client Zebra. Bản phát hành này bao gồm nhiều bản sửa lỗi bảo mật, trong đó có một lỗ hổng quan trọng liên quan đến đồng thuận và nhiều vấn đề Từ chối dịch vụ (DoS) mức cao. Tổ chức này khuyến nghị mạnh mẽ tất cả các nhà vận hành node nên nâng cấp ngay lập tức.

Các bản sửa lỗi cốt lõi trong bản phát hành này bao gồm lỗi đếm sigop trong quá trình phân tích cú pháp P2SH script (có thể gây ra phân nhánh đồng thuận với zcashd), lỗ hổng logic trong bộ nhớ đệm xác thực block NU5, rủi ro sập do tràn số dư địa chỉ transparent, cũng như nhiều lỗ hổng gây sập và cạn kiệt tài nguyên trong các giao diện RPC và xử lý mempool. Các quan chức chỉ ra rằng một số lỗ hổng có thể bị các node độc hại khai thác để khiến node bị treo, rơi vào vòng lặp khởi động lại hoặc thậm chí ngừng hoạt động vĩnh viễn.

Ngoài ra, bản phát hành này còn bổ sung hỗ trợ cho ZIP-213 (cho phép bảo vệ đầu ra coinbase tới Sapling), đồng thời tối ưu hóa hiệu suất mạng và ranh giới bảo mật, bao gồm hạn chế phân bổ tài nguyên trong giai đoạn chưa bắt tay, sửa lỗi rủi ro lạm dụng hàng đợi đa luồng và tăng cường cơ chế chấm điểm hành vi xấu (misbehavior).

Zcash Foundation cho biết bản cập nhật này đã sửa chữa hơn 80 báo cáo bảo mật từ Chương trình tiết lộ lỗ hổng ZCG (giai đoạn tháng 4-5 năm 2026), bao gồm nhiều cấp độ khác nhau như bảo mật đồng thuận, quản lý bộ nhớ, xử lý RPC và bề mặt tấn công mạng P2P. Các quan chức nhấn mạnh rằng không có giải pháp thay thế cho bản nâng cấp này và việc nâng cấp là cách duy nhất để đảm bảo các node không xảy ra phân tách chuỗi và rủi ro bảo mật.