莱特币重组（Reorg）撤销 MWEB 隐私层漏洞利用

莱特币基金会称，周六莱特币发生了深度链重组，原因是攻击者在其 MimbleWimble 扩展块 (MWEB) 隐私层中利用了零日漏洞。该事件导致持续三小时的重组：在网络历史中删除了无效交易，同时保留了受影响期间的有效交易。

漏洞利用的技术细节

该漏洞使运行较旧软件的挖矿节点能够验证一笔无效的 MWEB 交易，从而让攻击者将币从隐私扩展中“钉住/解锁”（peg out），并将其路由到第三方去中心化交易所，基金会表示。该缺陷产生了看似有效的“钉出”（peg-out），从而使攻击者能够在诚实节点拒绝涉事区块之前，将 LTC 调度到主链上。

主要挖矿矿池也遭到了与同一缺陷相关的拒绝服务（DoS）攻击。

攻击时间线与影响范围

Aurora Labs 首席执行官 Alex Shevchenko 在社交媒体发帖中将该事件形容为“一次协同攻击”。据 Shevchenko 称，该分叉从区块 3,095,930 运行到 3,095,943，并用时超过三个小时才能完成。在这段时间内，攻击者针对多个跨链交换协议发起了双重支付攻击，而这些协议此前已接受现已成为孤块（orphaned）的 MWEB 钉出（peg-out）。

财务影响

Shevchenko 报告称，NEAR Intents 的暴露规模约为 $600,000。他建议所有 LTC 交易场所对其交易和持仓进行审计，指出存在大量双重支付交易。莱特币基金会未披露由无效的 MWEB 交易创建的 LTC 总量，也没有点名受影响的挖矿矿池。

一些交易场所称从该事件中遭受了损失，但基金会声明中未提供具体数字。

解决方案与安全状态

基金会强调，违规交易最终已被从莱特币历史中擦除。基金会公告称，该漏洞已被彻底修补。

市场反应与背景

周六美东时间下午 4:30 左右，LTC 交易价格接近 $56.00，当天约下跌 1%，披露消息后未出现即时的市场反应。该代币年初至今下跌近 25%。

历史意义

周六的事件是自 2022 年 5 月莱特币通过软分叉启用隐私扩展以来，首次已知的针对 MWEB 的攻击。MWEB 使用户能够通过“钉入”（peg-in）和“钉出”（peg-out）交易，将 LTC 从透明的主基础链转移到一个保密的侧链；该扩展负责在每个区块中验证两层之间的币守恒。

更广泛的安全背景

该事件发生在加密货币安全的艰难时期。DeFi 协议在 2026 年 4 月中旬之前，已因漏洞损失超过 $750 百万美元，其中包括 4 月 19 日一笔 $292 百万美元的 Kelp DAO 桥漏洞抽干事件，以及 4 月 1 日发生在基于 Solana 的永续合约平台 Drift 上的 $285 百万美元攻击。据称，其中大多数事件都涉及跨链基础设施，而莱特币攻击者用来攫取收益、并在网络重组之前从中获利的同一“作案表面”也被提及。