Zcash parchea fallos críticos mientras los hackeos de criptos alcanzan los $651M en un mes

Hoy, 2 de mayo de 2026, la Fundación Zcash acaba de lanzar Zebra 4.4.0, instando a todos los operadores de nodos a actualizar de inmediato tras corregir múltiples fallos de seguridad, incluyendo varios que podrían haber dividido el consenso de la red.

El parche llega cuando abril cierra como el peor mes para los exploits de criptomonedas hasta la fecha. La firma de seguridad blockchain CertiK confirmó pérdidas totales de aproximadamente $651 millones en toda la industria.

¿Qué tipo de fallos de Zcash corrige Zebra 4.4.0?

La actualización resuelve cinco vulnerabilidades separadas en Zebra, la implementación de nodo Zcash basada en Rust desarrollada por la Fundación Zcash. Tres de los errores son críticos para el consenso, lo que significa que los atacantes podrían haberlos explotado y hecho que los nodos Zebra aceptaran transacciones que los clientes zcashd heredados rechazarían, dividiendo así la red.

El problema más grave (GHSA-28xj-328h-72vm) permitía a un hacker remoto detener permanentemente un nodo en el descubrimiento de nuevos bloques con una sola conexión. El ataque combinaba tres debilidades en la forma en que Zebra compartía y descargaba información. 

Según el aviso de la Fundación Zcash, el exploit "produjo cero puntuación de mal comportamiento, cero bloqueos y cero desconexiones", lo que lo hacía invisible para las herramientas de monitoreo estándar.

Un segundo error (GHSA-jv4h-j224-23cc) también hacía que Zebra perdiera la cuenta de cuántas firmas había dentro de un bloque de transacciones (normalmente contaría menos del límite de 20.000 sigop por bloque).

Al parecer, el sistema de Zebra ignoraba dos tipos específicos de scripts (el scriptSig de la entrada Coinbase y las firmas P2SH) durante la validación de bloques. Por ello, un atacante podía crear un bloque explotando ambas brechas, superando las verificaciones de Zebra pero fallando en zcashd y generando una división de cadena.

El tercer problema principal (GHSA-gq4h-3grw-2rhv) ocurrió debido a una corrección de sighash anterior que dejó datos obsoletos en un área de almacenamiento temporal (buffer) legible a través de la interfaz de función externa C++ de Zebra. 

Así, un atacante podía explotarlo usando una firma válida para llenar el buffer con información correcta y luego enviar una segunda transacción con un tipo de hash inválido que pasaría la verificación basándose en los datos residuales. 

Para resolver esto, la Fundación aplicó una solución temporal que dispersa el buffer con bytes aleatorios si una verificación falla, evitando así que el sistema reutilice información antigua hasta que se implemente una solución permanente.

Los dos últimos errores causaron discrepancias entre otras partes del sistema. Un error sobrecargaba la red haciendo que usara demasiada memoria al leer mensajes (GHSA-438q-jx8f-cccv). El otro era una pequeña discrepancia de codificación en cómo Zebra verificaba ciertas transacciones (GHSA-cwfq-rfcr-8hmp).

La Fundación señaló que este último no era explotable en la práctica, pero igualmente procedió a corregirlo para que coincidiera con el comportamiento de zcashd. Al investigador de seguridad Sangsoo-osec se le atribuye el descubrimiento de tres de los cinco problemas.

¿Podría el lanzamiento haber llegado en mejor momento?

Según DeFiLlama, abril de 2026 fue el mes con más hackeos en la historia de las criptomonedas (por número de incidentes), sufriendo entre 28 y 30 ataques separados. La publicación en X de CertiK el 30 de abril situó las pérdidas totales en aproximadamente $651 millones, las más altas desde marzo de 2022, excluyendo la brecha de Bybit en febrero de 2025.

Dos incidentes fueron responsables de la mayor parte del daño. El 1 de abril, Drift Protocol perdió alrededor de $285 millones en una operación de ingeniería social vinculada al Grupo Lazarus de Corea del Norte. Para el 18 de abril, KelpDAO había sufrido su propio exploit de suplantación de mensajes por $293 millones dirigido a un puente entre cadenas LayerZero, según Cryptopolitan. 

Cabe destacar que ninguno de los exploits de abril tuvo como objetivo directo a Zcash. Pero el enorme volumen de ataques en distintas cadenas refleja por qué su Fundación eligió calificar la actualización de Zebra como "crítica" e impulsar su adopción inmediata.

Qué deben hacer los operadores de nodos Zcash

La Fundación aconseja a todos los operadores actualizar a Zebra 4.4.0 de inmediato, ya que la versión no introduce ningún otro cambio significativo más allá de las correcciones de seguridad. 

Los operadores de nodos que ejecuten versiones anteriores permanecen expuestos a las cinco vulnerabilidades, incluida la detención del descubrimiento de bloques que requiere solo una única conexión maliciosa para ejecutarse.

ZEC cotizaba a $377,46 en el momento de redactar este artículo, según CoinMarketCap, con una capitalización de mercado de $6.280 millones.

Si deseas un punto de entrada más tranquilo en las criptomonedas DeFi sin el bombo habitual, comienza con este vídeo gratuito.