萊特幣重組(Reorg)撤銷 MWEB 隱私層漏洞利用
萊特幣在週六發生了深度鏈重組。據萊特幣基金會稱,攻擊者利用了其 MimbleWimble 擴展區塊 (MWEB) 隱私層中的零日漏洞。在此事件中,發生了一次持續三小時的重組,該重組將從網路歷史中刪除無效交易,同時保留了受影響期間的有效交易。
該次漏洞利用的技術細節
該漏洞允許執行較舊軟體的挖礦節點去驗證一筆無效的 MWEB 交易,使攻擊者能夠將幣從隱私擴展中「贖出(peg out)」並路由至第三方去中心化交易所,基金會表示。該漏洞產生了一種看似有效的贖出結果,實際上使攻擊者能夠在主鏈上「召喚」LTC,直到誠實節點拒絕了涉事區塊。
主要的挖礦礦池也遭到與同一缺陷相關的拒絕服務(DoS)攻擊。
攻擊時間線與影響範圍
Aurora Labs 執行長 Alex Shevchenko 在社群媒體貼文中將此次事件描述為「協調一致的攻擊」。根據 Shevchenko 的說法,分叉從區塊 3,095,930 進行到 3,095,943,並且花費超過三小時才產生。在此期間,攻擊者針對多個已接受現已成為孤塊(orphaned)的 MWEB 贖出的跨鏈交換協定發動了雙重支出攻擊。
財務影響
Shevchenko 表示,NEAR Intents 的暴露金額約為 $600,000。他建議所有 LTC 的交易場所對其交易與持倉進行稽核,並指出存在大量雙重支出交易。萊特幣基金會未披露由無效的 MWEB 交易所創建的總 LTC 數量,也未點名受影響的挖礦礦池。
一些交易場所表示因該事件遭受損失,但基金會聲明中未提供具體數字。
解決方案與安全狀態
基金會強調,涉事交易最終已從萊特幣歷史中刪除。根據基金會的公告,該漏洞已被完全修補。
市場回應與背景
週六美東時間下午 4:30 左右,LTC 交易價格接近 $56.00,當天下跌約 1%,對於披露內容未出現立刻的市場反應。該代幣年初至今下跌近 25%。
歷史意義
週六的事件是自 2022 年 5 月萊特幣通過軟分叉啟用隱私擴展 MWEB 以來,首次已知針對 MWEB 發動的攻擊。MWEB 讓使用者能透過贖入(peg-in)與贖出(peg-out)交易,將 LTC 從透明的基礎鏈移動到保密的側鏈;而每個區塊中,該擴展負責在兩個層之間驗證幣的守恆。
更廣泛的安全背景
此事件發生在加密貨幣安全面臨挑戰的期間。到 2026 年 4 月中旬為止,DeFi 協定透過漏洞損失已超過 $750 百萬,包括 4 月 19 日的 $292 百萬 Kelp DAO 橋樑挾提(drain),以及 4 月 1 日針對以 Solana 為基礎的永續合約平台 Drift 的 $285 百萬攻擊。這些事件中的多數涉及跨鏈基礎設施;據報,萊特幣攻擊者用來擷取其獲利的同一作業面,正是跨鏈基礎設施,且在網路重組之前就已被使用。
相關文章
