莱特幣遭遇協調攻擊，跨鏈損失60萬美元：「零日漏洞」定性遭安全研究員質疑

原文標題：《萊特幣遭雙花攻擊緊急回滾，「零日漏洞」說法遭安全研究員打臉》
原文作者：克洛德，深潮 TechFlow

深潮導讀：萊特幣 4 月 25 日遭遇協調攻擊，MWEB 隱私層漏洞被利用，攻擊者在約 32 分鐘內通過未更新節點執行無效交易並在跨鏈協議上實施雙花，NEAR Intents 報告約 60 萬美元風險敞口。

網路執行 13 區塊重組修復鏈狀態，但安全研究人員發現該漏洞早在 37 天前就已被私下修補，「零日攻擊」定性遭質疑。官方帳號事後嘲諷批評者「待在淺水區」，引發社區強烈反彈。

萊特幣網路 4 月 25 日經歷了自 2022 年啟用 MWEB（MimbleWimble 擴展區塊，萊特幣的隱私交易層）以來的首次重大安全事件。攻擊者利用 MWEB 層的共識漏洞，配合對礦池的拒絕服務攻擊，在約 32 分鐘內製造了一條包含無效交易的分叉鏈，並趁窗口期在多個跨鏈協議上執行雙花攻擊。

據 The Block 4 月 26 日報導，Aurora Labs CEO Alex Shevchenko 最先在 X 平台標記此次異常，將其定性為一次「協調攻擊」，涉及區塊 #3,095,930 至 #3,095,943，恢復過程耗時超過三小時。

攻擊分兩步執行：先癱瘓礦池，再利用未更新節點

據萊特幣基金會 4 月 25 日發布的官方聲明，攻擊路徑可分為兩個環節。

第一步是對主要礦池發起 DoS 攻擊，拉低運行已更新客戶端的節點的算力佔比。第二步是利用 MWEB 層的共識漏洞，向仍運行舊版軟體的節點注入一筆無效的 MWEB 交易。

這些未更新節點錯誤地將該交易視為合法，允許攻擊者從 MWEB 隱私層中「peg out」（將資金從隱私層轉出到主鏈），並將資金路由至第三方去中心化交易平台。

Shevchenko 進一步披露了攻擊者的鏈上痕跡：攻擊者計劃將 LTC 兌換為 ETH，所用地址在攻擊發生 38 小時前從 Binance 獲得資金。他判斷攻擊者提前掌握了漏洞訊息。

正常情況下，萊特幣出塊間隔約 2.5 分鐘，13 個區塊應在約 32 分鐘內產出。但此次 13 個區塊耗時超過三小時，這一異常最初讓部分觀察者誤判為 51% 攻擊。

實際情況是，一旦 DoS 攻擊停止，運行已更新程式碼的節點重新獲得算力優勢，網路自動完成了 13 區塊重組，將無效交易從主鏈中移除。萊特幣基金會表示，重組期間的所有合法交易不受影響。

跨鏈協議成實際受害方，NEAR Intents 報告 60 萬美元敞口

攻擊者利用分叉窗口期，在多個跨鏈互換協議上執行了雙花交易。這些協議接受了後來被重組推翻的 MWEB peg-out 交易，導致實際損失。

Shevchenko 在 X 平台發文稱，NEAR Intents 的風險敞口約為 60 萬美元，其團隊將覆蓋用戶損失。他同時警告所有接受 LTC 的交易平台審計交易記錄和持倉，因為鏈上存在大量雙花交易。

據 Bitcoin News 報道，萊特幣確認無效交易已從主鏈中移除後，NEAR Intents 的實際結算損失可能低於初始估算，但截至發稿該協議尚未發布後續聲明。其他暫停 LTC 相關業務的跨鏈協議也在重新評估風險敞口。

萊特幣基金會未披露受影響礦池的名稱，也未公開無效 MWEB 交易嘗試創造的 LTC 數量。

PoW 網路的老問題：升級靠自願，安全靠運氣

Zcash 創始人 Zooko Wilcox 在事件後評論稱，此類回滾加雙花攻擊在 PoW 網路中並非孤例，Monero 和 Grin 近年都遭遇過類似事件。2025 年 9 月，Monero 經歷了 12 年來最大的區塊重組，被回滾 18 個區塊、117 筆交易失效。

據 CoinDesk 分析，這一事件暴露了 PoW 網路的一個結構性矛盾：比特幣和萊特幣沒有強制更新機制，節點可以無限期運行舊版軟體。這一設計在去中心化哲學上有其價值，但當安全補丁需要在攻擊者利用漏洞之前觸達所有人時，就會產生致命窗口。

据 Yahoo Finance 分析，Litecoin 较小的算力规模和较低的安全预算使其比比特币更容易受到攻击。在比特币网络上回滚 13 个区块需要控制超过 50% 的算力，成本以十亿美元计；但在 Litecoin 上，一个漏洞加上一次 DoS 就足以制造同等深度的重组。

官方公关翻车：嘲讽批评者「待在浅水区」，Solana 反击

事件的后续处理可能比攻击本身造成了更大的信任损伤。

4 月 26 日，Litecoin 官方 X 账号发帖称：「你们中一些人对 PoW、算力、正常运行时间、重组和矿工/链关系一无所知，这很明显。待在浅水区吧，那里对你们更安全。」

据 Bitcoin News 报道，该帖引发数百条敌意回复。用户批评其「傲慢」「幼稚」「不专业」，有人写道「我持有你们的币好几年了，这就是你们发的东西？」。社区期待的是技术透明度和事后分析，而非嘲讽。

Solana 官方账号也加入了这场互动。在 4 月 25 日重组相关讨论下，@solana 回复道：「周末过得怎么样，小家伙？」。社区将其解读为对 Litecoin 此前多次嘲笑 Solana 宕机历史的直接回击。

LTC 截至事件披露后报价约 56 美元，当日跌约 1%，年初至今跌幅约 25%。市场对事件的即时反应相对平淡。

2026 年 DeFi 安全困局：跨链基础设施成最大攻击面

据 The Block 数据，2026 年至 4 月中旬，DeFi 协议已因各类攻击损失超过 7.5 亿美元。其中包括 4 月 19 日 Kelp DAO 桥接攻击（2.92 亿美元）和 4 月 1 日 Solana 永续合约平台 Drift 遭攻击（2.85 亿美元）。

多数重大事件都涉及跨链基础设施，与此次 Litecoin 攻击者利用跨链互换协议套现的手法如出一辙。

Litecoin 事件再次表明，跨链协议在接受 PoW 链资产时面临的确认数问题比预想中更严峻。当一个漏洞客户端发布就能触发 13 区块重组时，6 个确认是否足够安全，已经不是理论问题。

原文链接

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia