萊特幣重組 13 個區塊以撤銷 MWEB 隱私層漏洞利用

(P1) 萊特幣區塊鏈於 4 月 25 日執行了重大的 13 個區塊重組，以撤銷針對其 Mimblewimble 擴展區塊 (MWEB) 隱私功能的攻擊。此次重組重寫了超過三小時的交易歷史，以消除攻擊的影響。

(P2) 萊特幣官方帳號在一份聲明中表示：「一個零日漏洞襲擊了主要的礦池……導致未更新的節點能夠處理無效的 MWEB 交易。」團隊確認該漏洞已完全修復，網絡運行穩定，並強調在此期間所有有效的用戶交易均未受影響。

(P3) 該漏洞的根本原因是允許未應用最新軟件更新的挖掘節點處理欺詐性交易。鏈上數據表明，重組的 13 個區塊耗時超過三小時才生成，這與 32.5 分鐘的正常目標時間存在顯著偏差，最初導致觀察者懷疑發生了 51% 攻擊。

(P4) 此次事件突顯了工作量證明 (PoW) 網絡中的關鍵漏洞，即未更新的節點可能會造成安全漏洞。跨鏈協議 NEAR Intents 最初報告稱，由於無效交易面臨 60 萬美元的風險敞口，但由於交易已從主鏈撤銷，預計實際損失微乎其微。此次事件促使 Zcash 創始人 Zooko Wilcox 指出，此類回滾攻擊在 PoW 鏈上並非新鮮事。

攻擊分析與撤銷

攻擊向量集中在萊特幣的 MWEB 隱私層，該層允許機密交易。這個零日漏洞為攻擊者提供了一條路徑，讓他們可以在起始鏈上的代幣未被正確處理的情況下，將代幣「錨出」到第三方去中心化交易所，從而創造了雙重支出的機會。

來自 Aurora Labs 執行長 Alex Shevchenko 和分析師 Zacodil 等觀察者的早期鏈上分析標記了異常的區塊生成時間和重組，引發了社區對 51% 攻擊的擔憂（即單個實體獲得足夠的算力來控制網絡）。然而，萊特幣團隊的官方聲明重新定義了這一事件，稱其不是敵對接管，而是網絡為丟棄由漏洞創建的無效鏈而採取的糾正行動。

更廣泛的 PoW 安全考量

此次成功的漏洞利用及隨後的重組，為去中心化網絡中過時軟件相關的安全風險敲響了警鐘。未更新節點成為攻擊入口的事實，強調了礦工和節點運營商在維護網絡完整性方面的共同責任。

「這不是孤立事件。針對單純的工作量證明區塊鏈，已經發生過多次此類回滾和雙重支出攻擊，」Zcash 創始人 Zooko Wilcox 在 X 上寫道，並提到了 Monero 和 Grin 等網絡過去的問題。萊特幣事件為有關各種區塊鏈共識機制安全模型的持續辯論增添了另一個案例研究。雖然重組成功消除了眼前威脅，但它也重新引發了關於不可篡改性與糾正災難性錯誤能力之間權衡的討論。

本文僅供參考，不構成投資建議。