Litecoin 漏洞一度憑空增發 8.5 萬枚 LTC　跨鏈協議反而成最大受害者

一份最新發布的事故檢討報告披露，Litecoin 私隱層今年初出現關鍵漏洞，曾被攻擊者利用鑄造逾 85,000 枚 LTC。事件最終在主網層面受控，Litecoin 本身未錄得已確認用戶損失，反而是跨鏈協議因處理了其後被判定無效的鏈上交易而出現實質損失。 報告指出，漏洞與 Litecoin 的 Mimblewimble Extension Block（MWEB）有關。由於驗證邏輯存在缺陷，區塊處理期間可讓交易元資料不一致的情況通過檢查，攻擊者因此能構造惡意區塊，並製造被誇大的 pegout，合共 85,034 枚 LTC。 開發團隊在 3 月掃描鏈上資料後確認漏洞已被利用，但相關資金尚未大規模轉移。其後多個礦池協調凍結涉事輸出，阻止資金流動。攻擊者其後配合，簽署回收交易歸還大部分資金，並獲同意收取 850 枚 LTC 作為賞金。回收款項其後回撥至 MWEB，整體影響被消除。 風險在 4 月再度升級。第二次嘗試利用同一漏洞時觸發了意料之外的故障模式：已升級節點雖然能正確拒絕惡意區塊，但部分挖礦節點在處理被變異的區塊資料時出現停滯，令未升級的礦工得以在無效鏈上繼續延伸，最終形成長達 13 個區塊的分叉，之後才被升級礦工的有效鏈超越並移除。 這次並非回滾有效的區塊鏈歷史，而是一次重組，把在舊規則下產生的無效鏈清除。不過，短暫分歧已對外部系統造成後果：在重組完成前，部分跨鏈與兌換基建已在無效鏈上確認並處理交易，包括 NEAR Intents、THORChain 等。由於相關交易其後在有效鏈上不復存在，平台按無效狀態完成資產交換，因而錄得可量化損失。 Litecoin 團隊其後已發布修補，涵蓋原始驗證缺陷以及其後的節點處理問題。網絡現已恢復正常運作，MWEB 餘額亦已完全回復。報告同時點出事件背後的結構性挑戰：本次處理高度依賴礦工快速協調及分階段緊急升級，雖然奏效，但在重大事故中會引入操作風險；更重要的是，單一網絡的漏洞可迅速外溢至跨鏈與 DeFi 邊緣基建，放大連鎖影響。 總結：Litecoin 曾出現通脹型漏洞，一度增發約 8.5 萬枚 LTC，並在礦工協作下大致回收。跨鏈協議則在 13 個區塊的重組前處理了無效交易而承受損失，凸顯跨鏈基建面對的風險正在上升。