Zcash menambal kelemahan kritis saat peretasan kripto mencapai $651 juta dalam satu bulan

Hari ini, 2 Mei 2026, Zcash Foundation baru saja merilis Zebra 4.4.0, mendesak semua operator node untuk segera melakukan pembaruan setelah memperbaiki beberapa celah keamanan, termasuk beberapa yang berpotensi memecah konsensus jaringan.

Patch ini dirilis saat April ditutup sebagai bulan terburuk untuk eksploitasi kripto sejauh ini. Perusahaan keamanan blockchain CertiK mengonfirmasi kerugian total sekitar $651 juta di seluruh industri.

Jenis celah Zcash apa yang diperbaiki oleh Zebra 4.4.0?

Pembaruan ini menyelesaikan lima kerentanan terpisah di Zebra, implementasi node Zcash berbasis Rust yang dibangun oleh Zcash Foundation. Tiga dari bug tersebut bersifat kritis terhadap konsensus, artinya penyerang dapat mengeksploitasinya dan membuat node Zebra menerima transaksi yang akan ditolak oleh klien zcashd lama, sehingga memecah jaringan.

Masalah paling parah (GHSA-28xj-328h-72vm) memungkinkan peretas jarak jauh menghentikan node secara permanen dari menemukan blok baru hanya dengan satu koneksi. Serangan tersebut menggabungkan tiga kelemahan dalam cara Zebra berbagi dan mengunduh informasi. 

Menurut pemberitahuan Zcash Foundation, eksploit tersebut "menghasilkan nol skor perilaku buruk, nol larangan, dan nol pemutusan koneksi," sehingga membuatnya tidak terlihat oleh alat pemantauan standar.

Bug kedua (GHSA-jv4h-j224-23cc) juga membuat Zebra kehilangan hitungan berapa banyak tanda tangan yang ada di dalam blok transaksi (biasanya akan menghitung kurang dari batas blok 20.000 sigop).

Rupanya, sistem Zebra mengabaikan dua jenis skrip tertentu (scriptSig input Coinbase, dan tanda tangan P2SH) selama validasi blok. Karena itu, penyerang dapat membuat blok yang mengeksploitasi kedua celah tersebut, lolos dari pemeriksaan Zebra tetapi gagal di zcashd dan menciptakan pemisahan rantai.

Masalah besar ketiga (GHSA-gq4h-3grw-2rhv) terjadi karena perbaikan sighash sebelumnya yang meninggalkan data usang di area penyimpanan sementara (buffer) yang dapat dibaca melalui antarmuka fungsi asing C++ milik Zebra. 

Dengan demikian, penyerang dapat mengeksploitasi ini dengan menggunakan tanda tangan yang valid untuk mengisi buffer dengan informasi yang benar, lalu mengirimkan transaksi kedua dengan jenis hash yang tidak valid yang akan lolos verifikasi berdasarkan data sisa. 

Untuk mengatasi ini, Foundation menerapkan perbaikan sementara yang mengisi buffer dengan byte acak jika pemeriksaan gagal, sehingga mencegah sistem menggunakan kembali informasi lama hingga perbaikan permanen diterapkan.

Dua bug terakhir menyebabkan ketidaksesuaian antara bagian lain dari sistem. Satu bug membebani jaringan dengan membuat penggunaan memori yang terlalu besar saat membaca pesan (GHSA-438q-jx8f-cccv). Yang lain adalah perbedaan kecil dalam kode tentang cara Zebra memverifikasi transaksi tertentu (GHSA-cwfq-rfcr-8hmp).

Foundation mencatat bahwa yang terakhir tidak dapat dieksploitasi secara praktis, tetapi tetap melanjutkan untuk menambalnya agar sesuai dengan perilaku zcashd. Peneliti keamanan Sangsoo-osec dikreditkan dengan menemukan tiga dari lima masalah tersebut.

Apakah rilisnya bisa datang di waktu yang lebih baik?

Menurut DeFiLlama, April 2026 adalah bulan yang paling banyak diretas dalam sejarah kripto (berdasarkan jumlah insiden), mengalami sekitar 28 hingga 30 serangan terpisah. Postingan X CertiK pada 30 April menempatkan total kerugian sekitar $651 juta, tertinggi sejak Maret 2022, tidak termasuk pelanggaran Bybit pada Februari 2025.

Dua insiden bertanggung jawab atas sebagian besar kerusakan. Pada 1 April, Drift Protocol kehilangan sekitar $285 juta dalam operasi rekayasa sosial yang dikaitkan dengan Lazarus Group Korea Utara. Pada 18 April, KelpDAO mengalami eksploit pemalsuan pesan senilai $293 juta yang menargetkan jembatan lintas rantai LayerZero, menurut Cryptopolitan. 

Perlu dicatat, tidak satu pun dari eksploit April yang secara langsung menargetkan Zcash. Namun volume serangan yang besar di berbagai rantai mencerminkan mengapa Foundation memilih untuk melabeli pembaruan Zebra sebagai "kritis" dan mendorong adopsi segera.

Apa yang harus dilakukan operator node Zcash

Foundation menyarankan semua operator untuk segera meningkatkan ke Zebra 4.4.0, karena rilis ini tidak memperkenalkan perubahan signifikan lain di luar perbaikan keamanan. 

Operator node yang menjalankan versi lama tetap terpapar pada kelima kerentanan tersebut, termasuk penghentian penemuan blok yang hanya memerlukan satu koneksi berbahaya untuk dieksekusi.

ZEC diperdagangkan pada $377,46 pada saat penulisan, menurut CoinMarketCap, dengan kapitalisasi pasar sebesar $6,28 miliar.

Jika Anda menginginkan titik masuk yang lebih tenang ke kripto DeFi tanpa hype yang biasa, mulailah dengan video gratis ini.