萊特幣因 MWEB 零日漏洞遭遇深度鏈重組，刪除三小時歷史

Gate News 訊息，4 月 26 日——據萊特幣基金會（Litecoin Foundation）表示，上週六萊特幣（Litecoin）經歷了深度鏈重組 (reorg)，原因是攻擊者在其 MimbleWimble Extension Block (MWEB) 隱私層中利用了零日漏洞。該漏洞使得運行較舊軟體的挖礦節點能夠驗證一筆無效的 MWEB 交易，讓攻擊者得以將 LTC 從隱私擴展中釘住並將資金導向第三方去中心化交易所。同時，大型挖礦礦池也遭到與同一缺陷相關的拒絕服務（DoS）攻擊。

此次分叉涵蓋區塊 3,095,930 至 3,095,943，產生該結果花費超過三小時；期間，攻擊者針對多個已接受、現已成為孤塊的 MWEB 釘住外移（peg-out）的跨鏈交換協議執行雙重支付（double-spend）攻擊。Aurora Labs 執行長 Alex Shevchenko 將其形容為「協同攻擊」。基金會確認，所有涉事交易最終都已從萊特幣歷史中被刪除，而在該期間內的有效交易不受影響。該漏洞已被完全修補。

此次事件的經濟暴露包括約 $600,000 給 NEAR Intents；Shevchenko 建議所有交易場所在考量多筆雙重支付交易的情況下，對 LTC 交易與持倉進行稽核。基金會未披露由無效交易所產生的 LTC 總量，也未點名受影響的挖礦礦池。

週六下午（ET）LTC 交易價格接近 $56.00，當日下跌約 1%，且披露後市場未立即作出反應；但該代幣年初至今已下跌近 25%。這是自 2022 年 5 月萊特幣透過軟分叉啟用隱私擴展後，首次已知針對 MWEB 的攻擊。該事件發生在加密安全具挑戰性的時期，2026 年截至 4 月中旬，DeFi 協議因漏洞損失超過 $750 百萬，其中包括 4 月 19 日的 $292 百萬 Kelp DAO 橋被挖空（drain）事件，以及 4 月 1 日針對基於 Solana 的 Drift 的 $285 百萬攻擊。據報，多數此類事件都涉及跨鏈基礎設施，而萊特幣攻擊者用來轉移其獲利的，亦可能是相同的攻擊面。在重組之前移動獲利。