Plattform
rust
Komponente
zebrad
Behoben in
4.3.1
5.0.2
4.3.0
CVE-2026-34377 describes a consensus failure vulnerability within Zebra, a Zcash node implementation. This flaw allows a malicious miner to induce a consensus split by exploiting a logic error in the transaction verification cache. Affected versions include those prior to 4.3.0; upgrading to 4.3.0 resolves the issue.
CVE-2026-34377 in Zebra betrifft die Transaktionsverifizierung über seinen Transaktionsverifizierungscache. Ein böswilliger Miner kann einen Logikfehler ausnutzen, indem er ungültige Autorisierungsdaten bereitstellt, die mit dem txid einer gültigen Transaktion übereinstimmen. Dies könnte dazu führen, dass anfällige Zebra-Knoten einen ungültigen Block akzeptieren, was zu einer Konsensspaltung vom Rest des Zcash-Netzwerks führt. Es ist wichtig zu beachten, dass diese Schwachstelle nicht die Akzeptanz ungültiger Transaktionen selbst ermöglicht, sondern den Blockvalidierungsprozess manipuliert.
Um diese Schwachstelle auszunutzen, müsste ein Angreifer einen anfälligen Zebra-Knoten kontrollieren und in der Lage sein, Blöcke zu generieren, die Transaktionen mit gültigen txids, aber falschen Autorisierungsdaten enthalten. Die Komplexität liegt in der Erstellung dieser bösartigen Blöcke und der Beeinflussung der Blockchain, so dass der anfällige Knoten den falschen Block akzeptiert. Der Erfolg der Ausnutzung hängt von der Synchronisation und der Fähigkeit des Angreifers ab, die Konsensmechanismen des Zcash-Netzwerks zu überwinden.
Zcash node operators running Zebra are at risk, particularly those using older, unpatched versions. This includes individuals and organizations participating in the Zcash network who rely on Zebra for transaction validation and block propagation. Those with limited resources or delayed upgrade cycles are especially vulnerable.
• linux / server:
journalctl -u zebra | grep -i "consensus split"• generic web:
curl -s https://<zebra_node_ip>/ | grep -i "Zebra version"disclosure
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Die Lösung für diese Schwachstelle besteht darin, auf Version 4.3.0 oder höher von Zebra zu aktualisieren. Diese Version behebt den Logikfehler bei der Verarbeitung von Autorisierungsdaten innerhalb des Transaktionsverifizierungscache. Alle Zebra-Knotenbetreiber werden dringend gebeten, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Konsensspaltung zu mindern. Die Überwachung der Zebra-Protokolle nach dem Update ist eine gute Praxis, um sicherzustellen, dass die Korrektur korrekt angewendet wurde.
Actualice a la versión 4.3.0 de zebrad o a la versión 5.0.1 de zebra-consensus para corregir la vulnerabilidad. Esto evitará una posible división de consenso debido a la verificación incorrecta de transacciones V5. La actualización asegura que su nodo Zebra rechace bloques inválidos y mantenga la consistencia con la red Zcash.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Nein. Die Schwachstelle ermöglicht nicht die Erstellung von gefälschtem Zcash oder die Akzeptanz ungültiger Transaktionen. Sie ermöglicht lediglich die Erstellung eines ungültigen Blocks, der eine Konsensspaltung verursachen könnte.
Wenn Sie nicht sofort aktualisieren können, überwachen Sie die Protokolle Ihres Zebra-Knotens genau und bleiben Sie über Ankündigungen der Zcash-Community auf dem Laufenden.
Überprüfen Sie die Version Ihres Zebra-Knotens, indem Sie den Befehl zebra-cli status ausführen. Wenn die Version unter 4.3.0 liegt, ist Ihr Knoten anfällig.
Derzeit gibt es keine speziellen Tools, um diese Ausnutzung zu erkennen. Die Überwachung der Zebra-Protokolle und der Vergleich mit anderen Knoten im Netzwerk können helfen, Anomalien zu identifizieren.
Eine Konsensspaltung tritt auf, wenn verschiedene Knoten in einem Blockchain-Netzwerk unterschiedliche Versionen der Blockchain haben, was zur Erstellung von zwei separaten Ketten führen kann.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine Cargo.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.