莱特币重组 13 个区块以撤销 MWEB 隐私层漏洞利用

(P1) 莱特币区块链于 4 月 25 日执行了重大的 13 个区块重组，以撤销针对其 Mimblewimble 扩展区块 (MWEB) 隐私功能的攻击。此次重组重写了超过三小时的交易历史，以消除攻击的影响。

(P2) 莱特币官方账号在一份声明中表示：“一个零日漏洞袭击了主要的矿池……导致未更新的节点能够处理无效的 MWEB 交易。”团队确认该漏洞已完全修复，网络运行稳定，并强调在此期间所有有效的用户交易均未受影响。

(P3) 该漏洞的根本原因是允许未应用最新软件更新的挖掘节点处理欺诈性交易。链上数据表明，重组的 13 个区块耗时超过三小时才生成，这与 32.5 分钟的正常目标时间存在显著偏差，最初导致观察者怀疑发生了 51% 攻击。

(P4) 此次事件突显了工作量证明 (PoW) 网络中的关键漏洞，即未更新的节点可能会造成安全漏洞。跨链协议 NEAR Intents 最初报告称，由于无效交易面临 60 万美元的风险敞口，但由于交易已从主链撤销，预计实际损失微乎其微。此次事件促使 Zcash 创始人 Zooko Wilcox 指出，此类回滚攻击在 PoW 链上并非新鲜事。

攻击分析与撤销

攻击向量集中在莱特币的 MWEB 隐私层，该层允许机密交易。这个零日漏洞为攻击者提供了一条路径，让他们可以在起始链上的代币未被正确处理的情况下，将代币“锚出”到第三方去中心化交易所，从而创造了双重支出的机会。

来自 Aurora Labs 首席执行官 Alex Shevchenko 和分析师 Zacodil 等观察者的早期链上分析标记了异常的区块生成时间和重组，引发了社区对 51% 攻击的担忧（即单个实体获得足够的算力来控制网络）。然而，莱特币团队的官方声明重新定义了这一事件，称其不是敌对接管，而是网络为丢弃由漏洞创建的无效链而采取的纠正行动。

更广泛的 PoW 安全考量

此次成功的漏洞利用及随后的重组，为去中心化网络中过时软件相关的安全风险敲响了警钟。未更新节点成为攻击入口的事实，强调了矿工和节点运营商在维护网络完整性方面的共同责任。

“这不是孤立事件。针对单纯的工作量证明区块链，已经发生过多次此类回滚和双重支出攻击，”Zcash 创始人 Zooko Wilcox 在 X 上写道，并提到了 Monero 和 Grin 等网络过去的问题。莱特币事件为有关各种区块链共识机制安全模型的持续辩论增添了另一个案例研究。虽然重组成功消除了眼前威胁，但它也重新引发了关于不可篡改性与纠正灾难性错误能力之间权衡的讨论。

本文仅供参考，不构成投资建议。