Plataforma
linux
Componente
zcashd
Corrigido em
6.12.0
A vulnerabilidade CVE-2026-35679 afeta o software Zcashd, permitindo que transações inválidas sejam aceitas sob condições específicas. Essa falha pode levar ao esgotamento dos fundos dos usuários armazenados nos pools Sprout, uma vez que as provas do Sprout não estavam sendo devidamente verificadas. As versões do Zcashd entre 0.0.0 e 6.12.0 são suscetíveis a este problema. Uma correção foi lançada na versão 6.12.0.
A vulnerabilidade CVE-2026-35679 no zcashd, afetando versões anteriores a 6.12.0, permite a aceitação de transações inválidas sob certas condições. Especificamente, o software nem sempre estava verificando corretamente as provas Sprout. Isso poderia ter permitido que um atacante criasse transações fraudulentas que, se exploradas com sucesso, pudessem resultar no esgotamento de fundos de usuários do pool Sprout. A gravidade deste problema reside no potencial impacto financeiro direto para os usuários de Zcash que utilizam o protocolo Sprout. Embora não tenham sido relatados exploits ativos, a existência desta vulnerabilidade representa um risco significativo para a segurança da rede Zcash.
A exploração desta vulnerabilidade requer um profundo conhecimento do protocolo Sprout e a capacidade de criar transações maliciosas que contornem a verificação de provas. Embora a complexidade técnica possa ser alta, a recompensa potencial para um atacante (esgotar fundos do pool Sprout) é significativa. Acredita-se que a exploração bem-sucedida envolva a criação de provas Sprout falsificadas ou a manipulação de dados de transação para enganar o nó zcashd. A falta de um KEV (Knowledge Exploitation Verification) indica que, até o momento, não houve exploração ativa confirmada publicamente desta vulnerabilidade, mas a possibilidade existe e deve ser levada a sério.
Users running Zcashd nodes in versions 0.0 through 6.11.0 are at risk. This includes individuals participating in the Zcash Sprout pool, as well as those running full nodes for privacy and transaction validation. Those relying on older, unpatched Zcashd installations are particularly vulnerable.
• linux / server:
journalctl -u zcashd -g 'Sprout proof verification failed'• linux / server:
ps aux | grep -i zcashd | grep -i sproutdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-35679 é atualizar para a versão 6.12.0 ou superior do zcashd. Esta atualização inclui correções que garantem a verificação adequada das provas Sprout, prevenindo a aceitação de transações inválidas. Todos os usuários de zcashd são fortemente encorajados a atualizar seus nós o mais rápido possível. Além disso, é importante monitorar a rede Zcash para detectar qualquer atividade suspeita. Para usuários que não podem atualizar imediatamente, considere tomar precauções adicionais, como reduzir a quantidade de fundos mantidos no pool Sprout e aumentar a vigilância sobre as transações.
Actualice a la versión 6.12.0 o posterior para corregir la falla de verificación de las pruebas Sprout. Esta actualización asegura que las transacciones inválidas no puedan ser aceptadas, protegiendo así los fondos de los usuarios en el Sprout pool.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Sprout é um protocolo de privacidade para Zcash que permite aos usuários proteger a quantia e o remetente/destinatário de suas transações.
Se você usa o protocolo Sprout e não atualiza para a versão 6.12.0 ou superior, você pode estar em risco de perder fundos.
Você pode baixar a versão atualizada do site oficial do Zcash: [https://zcash.io/](https://zcash.io/)
Se você suspeitar que seu nó foi comprometido, pare o nó imediatamente, altere todas as suas senhas relacionadas ao Zcash e entre em contato com a comunidade Zcash para obter assistência.
Você pode verificar a versão do zcashd executando o comando zcashd -version na linha de comando.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.