CVE-2026-44498

Nome do Software Vulnerável e Versões Afetadas ZEBRA versões anteriores a 4.4.0

Descrição O validador de blocos subconta as operações de assinatura transparente em relação ao limite de bloco de 20000-sigop MAX BLOCK SIGOPS, o que permite que o software aceite blocos que o zcashd rejeita. Essa discrepância pode permitir que um minerador divida a rede, pois os nós Zebra seguiriam uma cadeia que os nós zcashd rejeitam. O problema decorre de dois erros de subcontagem: primeiro, a implementação Sigops ignorou completamente a entrada coinbase, permitindo que até aproximadamente 98 sigops fossem ocultados no scriptSig do coinbase. Segundo, o Zebra não acumulou os sigops P2SH durante a validação do bloco, computando-os apenas no caminho de aceitação do mempool. Consequentemente, blocos onde os sigops agregados do redeem-script excedem 20000 são aceitos incorretamente.

Recomendações Atualizar para a versão 4.4.0.