Gate News 訊息,4 月 26 日——據萊特幣基金會(Litecoin Foundation)表示,上週六萊特幣(Litecoin)經歷了深度鏈重組 (reorg),原因是攻擊者在其 MimbleWimble Extension Block (MWEB) 隱私層中利用了零日漏洞。該漏洞使得運行較舊軟體的挖礦節點能夠驗證一筆無效的 MWEB 交易,讓攻擊者得以將 LTC 從隱私擴展中釘住並將資金導向第三方去中心化交易所。同時,大型挖礦礦池也遭到與同一缺陷相關的拒絕服務(DoS)攻擊。
此次分叉涵蓋區塊 3,095,930 至 3,095,943,產生該結果花費超過三小時;期間,攻擊者針對多個已接受、現已成為孤塊的 MWEB 釘住外移(peg-out)的跨鏈交換協議執行雙重支付(double-spend)攻擊。Aurora Labs 執行長 Alex Shevchenko 將其形容為「協同攻擊」。基金會確認,所有涉事交易最終都已從萊特幣歷史中被刪除,而在該期間內的有效交易不受影響。該漏洞已被完全修補。
此次事件的經濟暴露包括約 $600,000 給 NEAR Intents;Shevchenko 建議所有交易場所在考量多筆雙重支付交易的情況下,對 LTC 交易與持倉進行稽核。基金會未披露由無效交易所產生的 LTC 總量,也未點名受影響的挖礦礦池。
週六下午(ET)LTC 交易價格接近 $56.00,當日下跌約 1%,且披露後市場未立即作出反應;但該代幣年初至今已下跌近 25%。這是自 2022 年 5 月萊特幣透過軟分叉啟用隱私擴展後,首次已知針對 MWEB 的攻擊。該事件發生在加密安全具挑戰性的時期,2026 年截至 4 月中旬,DeFi 協議因漏洞損失超過 $750 百萬,其中包括 4 月 19 日的 $292 百萬 Kelp DAO 橋被挖空(drain)事件,以及 4 月 1 日針對基於 Solana 的 Drift 的 $285 百萬攻擊。據報,多數此類事件都涉及跨鏈基礎設施,而萊特幣攻擊者用來轉移其獲利的,亦可能是相同的攻擊面。在重組之前移動獲利。
相關文章
