CVE-2026-35679 描述了 Zcashd 在版本 0–6.12.0 中的一个安全漏洞。该漏洞源于 Sprout 证明验证不完善,可能导致无效交易被接受,从而可能导致用户资金被耗尽。该问题已在 6.12.0 版本中修复。
zcashd中的CVE-2026-35679影响6.12.0之前的版本,在特定条件下允许接受无效交易。具体来说,软件并非总是正确验证Sprout证明。这可能允许攻击者创建欺诈性交易,如果成功利用,可能导致从Sprout池中流失用户资金。此问题的严重性在于对使用Sprout协议的Zcash用户的潜在直接财务影响。虽然尚未报告任何主动利用,但此漏洞的存在对Zcash网络构成了重大安全风险。
利用此漏洞需要对Sprout协议有深入的了解以及创建绕过证明验证的恶意交易的能力。虽然技术复杂性可能很高,但攻击者(从Sprout池中流失资金)的潜在回报是巨大的。成功的利用被认为涉及创建伪造的Sprout证明或操纵交易数据以欺骗zcashd节点。缺乏KEV(知识利用验证)表明,迄今为止,尚未公开确认此漏洞的任何主动利用,但该可能性存在,应认真对待。
Users running Zcashd nodes in versions 0.0 through 6.11.0 are at risk. This includes individuals participating in the Zcash Sprout pool, as well as those running full nodes for privacy and transaction validation. Those relying on older, unpatched Zcashd installations are particularly vulnerable.
• linux / server:
journalctl -u zcashd -g 'Sprout proof verification failed'• linux / server:
ps aux | grep -i zcashd | grep -i sproutdisclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
减轻CVE-2026-35679的解决方案是将zcashd升级到6.12.0或更高版本。此更新包含修复程序,可确保正确验证Sprout证明,从而防止接受无效交易。强烈建议所有zcashd用户尽快更新其节点。此外,监控Zcash网络是否存在任何可疑活动非常重要。对于无法立即升级的用户,请考虑采取额外的预防措施,例如减少Sprout池中持有的资金量,并提高对交易的警惕性。
Actualice a la versión 6.12.0 o posterior para corregir la falla de verificación de las pruebas Sprout. Esta actualización asegura que las transacciones inválidas no puedan ser aceptadas, protegiendo así los fondos de los usuarios en el Sprout pool.
漏洞分析和关键警报直接发送到您的邮箱。
Sprout是Zcash的隐私协议,允许用户隐藏其交易的金额和发送方/接收方。
如果您使用Sprout协议,并且没有升级到6.12.0或更高版本,则可能面临资金损失的风险。
您可以在Zcash官方网站下载更新版本:[https://zcash.io/](https://zcash.io/)
如果您怀疑您的节点已被破坏,请立即停止节点,更改所有与Zcash相关的密码,并联系Zcash社区寻求帮助。
您可以通过在命令行中运行zcashd -version命令来验证zcashd的版本。
CVSS 向量