Litecoin 首見隱私層遭駭:MWEB 零日漏洞觸發 13 區塊鏈重組
根據 The Block 報導,Litecoin 基金會 4/25 週六證實,攻擊者鎖定 MimbleWimble Extension Block(MWEB)隱私層的零日漏洞,迫使主鏈進行一次 13 區塊、橫跨三小時的回滾,這是 MWEB 自 2022 年啟用以來首次重大攻擊事件。
MWEB 漏洞讓舊版節點放行偽造 peg-out 交易
漏洞核心在於:執行舊版軟體的礦工節點,會把一筆無效的 MWEB 交易視為合法。攻擊者藉此把 LTC 從隱私層 peg out 到主鏈,再丟進去中心化交易所換成其他資產,等同於憑空印幣。同時間,幾家主要礦池也被牽連,遭受針對性的 DoS 攻擊。
MWEB 是 Litecoin 在 2022 年 5 月透過軟分叉啟動的隱私擴展層,目標是讓 LTC 具備類似 Monero 的金額遮蔽。三年多來功能穩定運作,這是它第一次被有效利用攻擊主網。
廣告 - 內文未完請往下捲動
13 區塊回滾、分叉持續逾 3 小時
受影響的分叉從區塊 3,095,930 延伸到 3,095,943,共 13 個區塊。這段三小時的空檔給了攻擊者足夠時間,對接受 MWEB peg-out 的跨鏈交換協議發動雙花:當交換協議把資產撥給對方、卻在隨後的回滾中失去對應的 MWEB 結算,被孤立的交易就形同無效。
NEAR Intents 暴露約 60 萬美元,礦池同遭 DoS
受影響的協議中,NEAR Intents 是公開揭露金額最高的一方,初步通報暴露約 60 萬美元,並表示團隊會自行吸收用戶損失。Litecoin 後續確認所有無效交易已隨回滾從主鏈抹除,因此實際結算損失應遠低於初估金額。
礦池端則被同一漏洞觸發 DoS 條件,被迫暫停或中斷出塊,這也是攻擊者能在三小時內持續分叉的關鍵—少了主流算力即時封鎖無效鏈,攻擊鏈才有時間累積區塊。
修補版已釋出,礦池與節點需立即升級
Litecoin 開發團隊在事件發生後數小時內釋出修補版本,要求所有節點與礦池操作者立即升級到最新版。基金會聲明網路目前已恢復正常運作,建議交易所在升級完成前暫緩處理 MWEB 相關的提幣與兌換。
對 LTC 持有者而言,這次事件不影響主鏈合法交易與既有餘額,但凸顯了隱私擴展層在「降低觀測性」與「降低偵錯難度」之間的取捨—當問題出現,社群更難在第一時間從鏈上資料追蹤異常。Litecoin 在 2025 年 10 月才在美國掛牌質押型 ETF,機構投資人對網路穩定性的關注度勢必上升。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
