根據 The Block 報導,萊特幣基金會 4/25 週六證實,攻擊者鎖定 MimbleWimble Extension Block(MWEB)隱私層的零日漏洞,迫使主鏈進行一次 13 區塊、橫跨三小時的回滾,這是 MWEB 自 2022 年啟用以來首次重大攻擊事件。
MWEB 漏洞讓舊版節點放行偽造 peg-out 交易
漏洞核心在於:執行舊版軟體的礦工節點,會把一筆無效的 MWEB 交易視為合法。攻擊者藉此把 LTC 從隱私層 peg out 到主鏈,再丟進去中心化交易所換成其他資產,等同於憑空印幣。同時間,幾家主要礦池也被牽連,遭受針對性的 DoS 攻擊。
MWEB 是萊特幣在 2022 年 5 月透過軟分叉啟動的隱私擴展層,目標是讓 LTC 具備類似 Monero 的金額遮蔽。三年多來功能穩定運作,這是它第一次被有效利用攻擊主網。
13 區塊回滾、分叉持續逾 3 小時
受影響的分叉從區塊 3,095,930 延伸到 3,095,943,共 13 個區塊。這段三小時的空檔給了攻擊者足夠時間,對接受 MWEB peg-out 的跨鏈交換協議發動雙花:當交換協議把資產撥給對方、卻在隨後的回滾中失去對應的 MWEB 結算,被孤立的交易就形同無效。
NEAR Intents 暴露約 60 萬美元,礦池同遭 DoS
受影響的協議中,NEAR Intents 是公開揭露金額最高的一方,初步通報暴露約 60 萬美元,並表示團隊會自行吸收用戶損失。萊特幣後續確認所有無效交易已隨回滾從主鏈抹除,因此實際結算損失應遠低於初估金額。
礦池端則被同一漏洞觸發 DoS 條件,被迫暫停或中斷出塊,這也是攻擊者能在三小時內持續分叉的關鍵——少了主流算力即時封鎖無效鏈,攻擊鏈才有時間累積區塊。
修補版已釋出,礦池與節點需立即升級
萊特幣開發團隊在事件發生後數小時內釋出修補版本,要求所有節點與礦池操作者立即升級到最新版。基金會聲明網路目前已恢復正常運作,建議交易所在升級完成前暫緩處理 MWEB 相關的提幣與兌換。
對 LTC 持有者而言,這次事件不影響主鏈合法交易與既有餘額,但凸顯了隱私擴展層在「降低觀測性」與「降低偵錯難度」之間的取捨——當問題出現,社群更難在第一時間從鏈上資料追蹤異常。萊特幣在 2025 年 10 月才在美國掛牌質押型 ETF,機構投資人對網路穩定性的關注度勢必上升。
這篇文章「萊特幣首見隱私層遭駭:MWEB 零日漏洞觸發 13 區塊鏈重組」最早出現於 鏈新聞 ABMedia。
相关快讯
莱特币重组(Reorg)撤销 MWEB 隐私层漏洞利用
莱特币确认零日漏洞导致13区块重组,网络已修复且运行稳定
Kelp DAO 漏洞救援:Mantle 拟借 Aave 3 万 ETH、DeFi 联盟承诺逾 43,500 ETH
Bitwarden CLI 惡意 npm 包曝光,加密錢包面臨竊取風險
CryptoQuant:KelpDAO 泄露漏洞引爆 2024 年以来最严重危机,Aave TVL 暴跌 33%
