CVE-2026-41584

Nome do Software Vulnerável e Versões Afetadas zebrad versões anteriores a 4.3.1 zebra-chain versões anteriores a 6.0.2

Descrição As transações Orchard incluem um campo rk, que serve como uma chave de validação randomizada e um ponto de curva elíptica. Embora a especificação do Zcash permita que este campo seja a identidade (um valor zero), o crate orchard usado para verificar provas Orchard gera um pânico ao processar um rk com o valor de identidade. Especificamente, o problema ocorre no arquivo circuits.rs do crate orchard, onde o sistema tenta recuperar as coordenadas do valor rk e chama unwrap() nos resultados. Um invasor pode explorar isso enviando uma transação manipulada contendo um rk de identidade, fazendo com que o nó trave e resultando em uma Negação de Serviço.

Recomendações Atualize o zebrad para a versão 4.3.1 ou posterior. Atualize o zebra-chain para a versão 6.0.2 ou posterior.