根據 The Block 報導,Litecoin 基金會 4/25 週六證實,攻擊者鎖定 MimbleWimble Extension Block(MWEB)隱私層的零日漏洞,迫使主鏈進行一次 13 區塊、橫跨三小時的回滾,這是 MWEB 自 2022 年啟用以來首次重大攻擊事件。
MWEB 漏洞讓舊版節點放行偽造 peg-out 交易
漏洞核心在於:執行舊版軟體的礦工節點,會把一筆無效的 MWEB 交易視為合法。攻擊者藉此把 LTC 從隱私層 peg out 到主鏈,再丟進去中心化交易所換成其他資產,等同於憑空印幣。同時間,幾家主要礦池也被牽連,遭受針對性的 DoS 攻擊。
MWEB 是 Litecoin 在 2022 年 5 月透過軟分叉啟動的隱私擴展層,目標是讓 LTC 具備類似 Monero 的金額遮蔽。三年多來功能穩定運作,這是它第一次被有效利用攻擊主網。
13 區塊回滾、分叉持續逾 3 小時
受影響的分叉從區塊 3,095,930 延伸到 3,095,943,共 13 個區塊。這段三小時的空檔給了攻擊者足夠時間,對接受 MWEB peg-out 的跨鏈交換協議發動雙花:當交換協議把資產撥給對方、卻在隨後的回滾中失去對應的 MWEB 結算,被孤立的交易就形同無效。
NEAR Intents 暴露約 60 萬美元,礦池同遭 DoS
受影響的協議中,NEAR Intents 是公開揭露金額最高的一方,初步通報暴露約 60 萬美元,並表示團隊會自行吸收用戶損失。Litecoin 後續確認所有無效交易已隨回滾從主鏈抹除,因此實際結算損失應遠低於初估金額。
礦池端則被同一漏洞觸發 DoS 條件,被迫暫停或中斷出塊,這也是攻擊者能在三小時內持續分叉的關鍵—少了主流算力即時封鎖無效鏈,攻擊鏈才有時間累積區塊。
修補版已釋出,礦池與節點需立即升級
Litecoin 開發團隊在事件發生後數小時內釋出修補版本,要求所有節點與礦池操作者立即升級到最新版。基金會聲明網路目前已恢復正常運作,建議交易所在升級完成前暫緩處理 MWEB 相關的提幣與兌換。
對 LTC 持有者而言,這次事件不影響主鏈合法交易與既有餘額,但凸顯了隱私擴展層在「降低觀測性」與「降低偵錯難度」之間的取捨—當問題出現,社群更難在第一時間從鏈上資料追蹤異常。Litecoin 在 2025 年 10 月才在美國掛牌質押型 ETF,機構投資人對網路穩定性的關注度勢必上升。
這篇文章 Litecoin 首見隱私層遭駭:MWEB 零日漏洞觸發 13 區塊鏈重組 最早出現於 鏈新聞 ABMedia。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
ASOS 聯合創辦人的比特幣錢包在泰國身故後遭 ~$4M 挖走
Gate 新聞訊息,4月29日——在 ASOS 的聯合創辦人 Quentin Griffiths 去世之後,他在泰國從建築物墜落,約 $4 百萬 的比特幣在數天內、透過三筆分別的交易,從他的錢包中被轉出,轉入未知地址。
Griffiths 的長子 Joel,
GateNews21分鐘前
Trading Protocol 的 YieldCore-3rd-deal 金庫遭到攻擊並損失 398K
Gate News 訊息,4 月 29 日——根據鏈上分析師 PeckShield 的說法,Trading Protocol 的 YieldCore-3rd-deal 代管金庫在一次攻擊中遭到利用,導致約 $398,000 的資金損失。該攻擊利用了該金庫智能合約中缺少呼叫者權限檢查的漏洞,
GateNews36分鐘前
法國公民因透過殼公司與加密貨幣帳戶洗錢超過 $470 百萬美元,被判處 8 年監禁
Gate News 訊息,4 月 29 日——根據美國司法部的說法,一名法國-阿根廷公民 Maximilien de Hoop Cartier 因經營未獲許可的加密貨幣交易所,並透過殼公司與加密貨幣帳戶洗錢超過 $470 百萬美元,被判處八年監禁。
GateNews43分鐘前
Robinhood 使用者遭釣魚攻擊:利用 Gmail 點號別名功能
Gate 新聞訊息,4 月 28 日——Robinhood 使用者遭到釣魚攻擊,該攻擊利用 Gmail 的「點號別名」功能,並同時挖掘該平台帳戶建立流程中的弱點。攻擊者註冊了稍微變更的假 Robinhood 帳戶所用電子郵件地址,利用 Gmail 會忽略使用者名稱中的點號、從而將系統自動產生的電子郵件路由到合法使用者收件匣的特性,將該郵件送達目標使用者。
該攻擊包含在帳戶設定期間,透過選用的「裝置名稱」欄位注入惡意 HTML 程式碼。這使得釣魚連結與假警告文字能夠出現在來自「[email protected]」的官方電子郵件中;這些郵件通過 SPF、DKIM 與 DMARC 等驗證檢查,使其看起來對收件者而言是可信且合理的。點擊釣魚按鈕的使用者會被導引至用於竊取其憑證的假登入網站。
Robinhood 已確認,這些釣魚電子郵件並非源自系統遭到入侵,而是源自其帳戶建立流程遭到濫用。該公司表示,個人資訊與資金未受到影響。建議使用者刪除可疑電子郵件,並透過官方應用程式或網站直接存取其帳戶,而不是點擊未知連結。
此次事件反映出加密產業更廣泛的趨勢:釣魚與社交工程攻擊正在造成重大損失。資安公司 Hacken 表示,這類攻擊在 2026 年第一季度造成了 百萬 的損失,凸顯攻擊者正愈發鎖定使用者行為與平台設計漏洞作為目標,而不是試圖進行直接的系統入侵。
GateNews6小時前
GlassWorm Malware Plants 73 Sleeper Extensions in OpenVSX to Steal Crypto Wallets
Gate News message, April 28 — Security researchers have identified 73 malicious extensions planted by GlassWorm malware in OpenVSX's registry, with six already activated to steal developers' cryptocurrency wallets and credentials. The extensions were uploaded as fake copies of legitimate listings, w
GateNews7小時前
加密駭盜在過去十年橫跨 518 起事件竊走 171 億美元
Gate 新聞訊息,4 月 28 日——根據 ChainCatcher 數據,過去十年加密貨幣遭受加密攻擊的累計損失已達 17.1 十億美元,發生在 518 起事件中。
過去五年造成的損失達 15.2 十億美元,來自 450 起以上事件;而去年則約有 2.5 十億美元在 140+ 起事件中被竊取。這顯示,與早前十年相比,攻擊頻率出現加速。
近期分析顯示,加密攻擊已由利用智慧合約漏洞,轉向鎖定私鑰竊取與存取控制遭突破,這代表攻擊者作案方式出現顯著轉變。
GateNews15小時前
