Postmortem Litecoin: Bug MWEB Memungkinkan Penyerang Memalsukan 85.034 LTC Pegout Sebelum Pengembang Membekukan Dana

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯5346 kata

Pengembang Litecoin menerbitkan postmortem pada hari Selasa yang mengonfirmasi dua insiden keamanan terkait yang terikat pada bug validasi Mimblewimble Extension Block kritis yang memungkinkan penyerang untuk memalsukan pegout 85.034 LTC pada Maret 2026 dan kemudian memicu reorganisasi rantai 13-blok pada bulan April yang berdampak pada Thorchain dan NEAR Intents. Postmortem Litecoin: Bug MWEB Membiarkan Penyerang Memalsukan Pegout 85.034 LTC Sebelum Pengembang Membekukan Dana Poin Penting: - Bug validasi MWEB Litecoin membiarkan penyerang melakukan inflasi dan pegout 85.034 LTC pada Maret 2026, namun pelaku mengembalikan dana tersebut dengan imbalan bounty 850 LTC. - Upaya eksploitasi pada April 2026 memicu reorg rantai 13-blok, menyebabkan NEAR Intents kehilangan 11.000 LTC yang ditukar dengan 7,78 BTC. - Litecoin Core v0.21.5.4 menambal bug inflasi dan penghentian node penambangan yang memungkinkan reorg bulan April. Pengembang Litecoin Merilis Postmortem Setelah Bug MWEB Menyebabkan Reorg Rantai Postmortem mengidentifikasi akar masalah sebagai pemeriksaan metadata yang hilang selama koneksi blok. Ketika input MWEB membelanjakan output sebelumnya, metadata yang dibawanya harus cocok dengan UTXO aktual yang dikonsumsi. Pemeriksaan tersebut ada di jalur mempool dan pembangunan blok, tetapi pengembang mengonfirmasi bahwa itu tidak sepenuhnya ditegakkan pada tahap koneksi blok. Pengembang menemukan kerentanan tersebut melalui tinjauan internal pada 19 Maret. Pemindaian rantai menunjukkan eksploitasi telah terjadi pada blok 3.073.882. Penyerang menggunakan input MWEB berbahaya yang nilai aslinya tidak lebih dari 1,2084693 LTC untuk mendukung pegout sebesar 85.034,47285734 LTC. Pengembang mengatakan mereka berkoordinasi secara pribadi dengan pool penambangan utama untuk menahan output yang terinflasi sebelum pengungkapan publik. Rilis darurat, Litecoin Core 0.21.5, didorong ke penambang untuk memblokir input cacat baru. Rilis tindak lanjut, 0.21.5.1, menambahkan pengecualian historis untuk blok eksploitasi yang sudah diterima dan untuk sementara membekukan tiga outpoint transparan yang memegang dana penyerang. Pelaku mencoba membelanjakan setidaknya satu output yang dibekukan. Penambang yang telah ditingkatkan menolak transaksi tersebut. Pengembang kemudian menghubungi pelaku secara langsung. Pelaku setuju untuk bekerja sama dan menandatangani transaksi pemulihan yang mengembalikan 84.184,47278630 LTC ke alamat yang dikendalikan pengembang sambil menyimpan 850 LTC sebagai bounty yang disepakati. Pendiri Litecoin, Charlie Lee, membeli 850 LTC yang diperlukan untuk melengkapi saldo MWEB. Sebanyak 85.034,47285734 LTC penuh dipatok kembali ke MWEB dalam satu transaksi pada ketinggian blok 3.078.098, dan output MWEB yang dihasilkan dibekukan. Tidak ada dana pengguna yang hilang dalam insiden Maret tersebut. Menurut postmortem, penyerang kedua mencoba jalur eksploitasi yang sama pada bulan April, memicu kegagalan terpisah. Node yang ditingkatkan menolak blok yang cacat, tetapi cara data blok MWEB yang bermutasi ditangani menyebabkan perintah RPC penambangan tertentu macet, termasuk panggilan submitblock. Node penambangan yang ditingkatkan terhenti sementara penambang yang belum ditingkatkan terus memperluas rantai yang tidak valid. Rantai yang tidak valid tumbuh hingga 13 blok sebelum penambang yang ditingkatkan berkoordinasi untuk menyusulnya. Rantai yang buruk di-reorg keluar, tetapi beberapa sistem pihak ketiga telah memproses aktivitas pada rantai yang tidak valid sebelum reorg selesai. NEAR Intents mengonfirmasi bahwa penyerang menukar 11.000 LTC dengan 7,78814476 BTC sebelum reorg selesai. 11.000 LTC tersebut tidak lagi ada di rantai yang valid setelah reorg, meninggalkan NEAR Intents dengan kerugian yang terkonfirmasi. Thorchain melaporkan kerugian terpisah setelah penyerang menukar 10 LTC dengan 0,00719957 BTC melalui bridge-nya sebelum reorg. Litecoin Core 0.21.5.4 mengatasi

Status data✓ Teks lengkap telah diambilBaca artikel asli (Bitcoin.com)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset2 berita

2026-04-26

Litecoin memberikan pembaruan pasca-serangan, namun pengembang lain meragukan teori zero-day

Tingkat kemiripan 130%關鍵字 devs/litecoin

2026-04-25

Litecoin mengonfirmasi bug zero-day menyebabkan reorg 13-blok, jaringan telah diperbaiki dan stabil

Tingkat kemiripan 130%關鍵字 bug/litecoin

💡 Saat ini menggunakan pencocokan kata kunci + aset (MVP) · Akan ditingkatkan ke pencarian semantik embedding di masa mendatang

Informasi mentah

ID:6bfc05b470

Sumber:Bitcoin.com

Diterbitkan:2026-04-28 17:16:02

Kategori:Umum · Kategori ekspor neutral

Aset:Tidak ditentukan

Voting komunitas:+0 / −0 · ⭐ 0 Penting · 💬 0 Komentar