Litecoin 事後檢討：MWEB 漏洞導致攻擊者偽造 85,034 LTC 提現，隨後開發人員凍結資金

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5346 字

Litecoin 開發者於週二發布一份事後檢討報告，確認兩起相關的安全事件均與一個嚴重的 Mimblewimble Extension Block 驗證漏洞有關，此漏洞讓攻擊者得以在 2026 年 3 月偽造 85,034 LTC 的 pegout，並在 4 月觸發了一次 13 個區塊的鏈重組，波及 Thorchain 與 NEAR Intents。 Litecoin 事後檢討：MWEB 漏洞讓攻擊者偽造 85,034 LTC Pegout，開發者隨即凍結資金重點摘要： - 一個 Litecoin MWEB 驗證漏洞讓攻擊者在 2026 年 3 月得以增發並 peg out 85,034 LTC，但該行為人歸還資金，並收取 850 LTC 的獎金。 - 2026 年 4 月的一次攻擊嘗試觸發了 13 個區塊的鏈重組，導致 NEAR Intents 損失了用於兌換 7.78 BTC 的 11,000 LTC。 - Litecoin Core v0.21.5.4 同時修補了增發漏洞與導致 4 月鏈重組的挖礦節點停滯問題。 Litecoin 開發者於 MWEB 漏洞造成鏈重組後發布事後檢討事後檢討報告指出，根本原因是區塊連接過程中遺漏了一項中繼資料（metadata）檢查。當一個 MWEB 輸入花費前一個輸出時，其所攜帶的中繼資料必須與實際被消耗的 UTXO 相符。該檢查存在於 mempool 與區塊建構路徑中，但開發者確認其在區塊連接階段並未被完整執行。開發者於 3 月 19 日透過內部審查發現此漏洞。鏈上掃描顯示，攻擊已在區塊 3,073,882 發生。攻擊者使用了一個惡意的 MWEB 輸入，其真實價值不超過 1.2084693 LTC，卻支撐了一筆 85,034.47285734 LTC 的 pegout。開發者表示，他們在公開揭露前，私下與主要礦池協調以遏制這些增發產出。一個緊急版本 Litecoin Core 0.21.5 被推送給礦工，以阻擋新的格式錯誤輸入。後續版本 0.21.5.1 為已被接受的漏洞區塊新增了一個歷史例外，並暫時凍結了持有攻擊者資金的三個透明輸出點（outpoints）。該行為人嘗試花費至少一個被凍結的輸出。已升級的礦工拒絕了該交易。開發者隨後直接聯繫該行為人。該行為人同意配合，並簽署了一筆復原交易，將 84,184.47278630 LTC 歸還至開發者控制的位址，同時保留 850 LTC 作為約定的獎金。 Litecoin 創辦人 Charlie Lee 購買了所需的 850 LTC 以補足 MWEB 的餘額。完整的 85,034.47285734 LTC 在區塊高度 3,078,098 的單筆交易中被 peg 回 MWEB，所產生的 MWEB 輸出隨即被凍結。3 月事件中最終並無使用者資金損失。根據事後檢討，第二位攻擊者於 4 月嘗試了相同的攻擊路徑，觸發了另一次故障。已升級的節點拒絕了格式錯誤的區塊，但由於變異（mutated）的 MWEB 區塊資料的處理方式，導致某些挖礦 RPC 指令發生停滯，包括 submitblock 呼叫。已升級的挖礦節點停擺，而未升級的礦工則繼續延伸這條無效鏈。該條無效鏈在已升級礦工協調超越之前，已成長至 13 個區塊。這條惡意鏈最終被重組剔除，但在重組完成之前，已有多個第三方系統處理了該無效鏈上的活動。 NEAR Intents 確認，攻擊者在重組完成前以 11,000 LTC 兌換了 7.78814476 BTC。在重組之後，這 11,000 LTC 已不存在於有效鏈上，使 NEAR Intents 蒙受確定的損失。Thorchain 則回報另一筆損失，攻擊者在重組前透過其跨鏈橋以 10 LTC 兌換了 0.00719957 BTC。 Litecoin Core 0.21.5.4 處理了變異區塊造成的停滯問題，方法是抹除被歸類為變異的區塊所儲存的資料，使同一區塊雜湊的有效資料能在稍後被接受。該版本於 4 月 25 日完成建置並公開部署。該事後檢討部落格文章承認應變過程中存在若干疏失，包括：MWEB 驗證過度依賴未在區塊連接階段套用的檢查；復原過程需要多階段的礦工版本發布，每一階段都帶有協調風險；以及 4 月變異區塊故障模式未針對挖礦 RPC 行為進行測試。事後檢討發布於 X 後，社群反應大多正面，約 70% 至 80% 的回覆肯定該團隊的透明度與應變速度。多則回覆指出，鏈本身保持穩固，而公開揭露反而建立了信任而非損害信任。 Litecoin 確認零日漏洞造成 13 個區塊重組，網路已修補並穩定 Litecoin 確認零日漏洞造成 13 個區塊重組，網路已修補並穩定 Litecoin 官方帳號於週六下午確認，一個零日漏洞觸發了針對主要礦池的阻斷服務攻擊，導致…… 立即閱讀。Litecoin 官方帳號於週六下午確認，一個零日漏洞觸發了針對主要礦池的阻斷服務攻擊，導致…… 建議使用者與節點運營者升級至 Litecoin Core v0.21.5.4 或更新版本，確認節點正常同步，若節點在重啟後仍卡住則進行重建索引（reindex）。此份事後檢討發布於 Litecoin 近期一則關於「在 X 上發文應做得更好」的貼文之後。在該帳號於本週稍早被指控「幼稚」之後，Litecoin 官方 X 帳號寫道：「未來負責管理此〔X〕帳號發文的人會做得更好。」

資料狀態✓ 已擷取全文閱讀原文（Bitcoin.com）

🔍歷史類似事件· 關鍵字 + 標的比對5 則

2026-04-29

CoinDesk 20 表現更新：Litecoin (LTC) 上漲 2.4%，領漲指數

相似度 130%關鍵字 litecoin/ltc

2026-04-29

Litecoin 的 MWEB 鏈分裂問題已解決，F2pool 完成了全部 13 個區塊的挖礦

相似度 130%關鍵字 litecoin/mweb

2026-04-26

Litecoin 發布攻擊後更新，但其他開發者質疑 zero-day 理論

相似度 130%關鍵字 devs/litecoin

2026-04-25

Litecoin 確認 Zero-Day Bug 導致 13 個區塊的 Reorg，網路已修復並恢復穩定

相似度 130%關鍵字 litecoin/bug

2026-05-19

AI 垃圾內容湧入漏洞獎勵計畫，企業疲於應對假回報

相似度 100%關鍵字 bug/fake

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：6bfc05b470

來源：Bitcoin.com

發佈：2026-04-28 17:16:02

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言