萊特幣(Litecoin, LTC)網路在上週末遭遇了一場驚險的技術危機。由於其 Mimblewimble 擴展區塊(MWEB)隱私協議存在安全漏洞,導致網路出現了長達 13 個區塊的重組,回滾了約 32 分鐘的網路活動。儘管萊特幣基金會宣稱已成功修復此「零日漏洞」,但社群研究員隨後透過 GitHub 代碼紀錄戳破了官方說法,指稱該漏洞其實早已被開發團隊知曉。
DoS 攻擊與非法交易
此次事件發生在週五晚間至週六。攻擊者採取了縝密的雙重攻擊策略:首先針對已更新軟體的大型礦池發動「拒絕服務攻擊」(DoS),暫時抑制了這些節點的運作。在這些更新節點斷線的空檔,尚未更新的老舊節點繼續運行,形成了一條錯誤的臨時鏈。
攻擊者隨即利用 MWEB 協議中的共識漏洞進行異常提領,試圖將無效的 LTC 交易發送至去中心化交易所(DEX)進行跨鏈兌換。直到已更新的節點重新奪回算力主導權後,網路自動執行了 13 個區塊的重組,這才將無效交易作廢並修正了主鏈紀錄。
修復不及時造成「攻擊窗口」
雖然萊特幣基金會在週日早上宣布漏洞已完全修復且網路運行正常,並將此定性為「零日漏洞」(即開發者先前未知的漏洞),但安全研究社群卻提出了不同見解。
SEAL911 應急小組的研究員 bbsz 透過查閱 GitHub 公開提交日誌發現,該共識漏洞早在 3 月 19 日至 26 日期間就已完成私下修復,比本次攻擊足足早了一個月。然而,開發團隊並未在第一時間公開此消息或強制礦池升級,直到攻擊發生的 4 月 25 日當天下午,才將修復程序整合至 0.21.5.4 版本發布。
這意味著在過去一個月中,萊特幣網路處於「部分節點已修復、部分節點仍脆弱」的危險狀態,而攻擊者顯然精確掌握了這個空檔。
預謀跡象明顯,跨鏈安全再敲警鐘
NEAR Foundation 首席技術官 Alex Shevchenko 則指出,區塊鏈數據證明了這是一場精心策劃的伏擊。攻擊者的錢包在案發前 38 小時便從幣安提取資金,且預先設定好了將 LTC 兌換為 ETH 的自動化指令。他強調:「由於重組能自動發生,代表當時已有部分算力在執行新代碼,因此這絕非所謂的零日漏洞。」
區塊鏈開發者 Vadim 更直言,這次事件暴露了低算力 Layer 1 網路的脆弱性,認為這類網路已不再適合作為跨鏈價值的安全抵押品。
傳統 PoW 網路的協作難題
專家指出,相較於新型區塊鏈能透過核心驗證者群組快速協調升級,萊特幣這類傳統的「工作量證明」(PoW)網路依賴於全球獨立礦池的主動升級。這種去中心化的特性在平時是優點,但在面臨急迫的安全威脅時,若開發團隊未能有效引導全網同步更新,就容易留下致命的攻擊窗口。
截至目前,萊特幣基金會尚未針對 GitHub 日誌所反映的時間線爭議做出正式回應,亦未揭露在重組發生前是否有任何跨鏈兌換已成功套現。隨著 AI 系統在識別代碼漏洞的能力上日益超越人類,這類針對協議邏輯的精準打擊恐將成為未來加密貨幣網路的新常態。
