Litecoin 爆首起 MWEB 漏洞攻擊　13區塊重組撤銷異常交易

快訊摘要：

萊特幣（Litecoin）近日遭遇首起針對其隱私擴展層 MWEB 的重大攻擊，攻擊者利用零日漏洞發動協同攻擊，導致鏈上出現無效交易並嘗試雙花

官方緊急進行 13 個區塊的深度重組，回滾約 3 小時歷史，成功移除異常交易並修補漏洞，但部分跨鏈協議仍通報資金損失，凸顯跨鏈與隱私機制的潛在風險

MWEB 零日漏洞曝光　攻擊者可「憑空提幣」

萊特幣基金會指出，此次事件源於其隱私擴展機制 MimbleWimble Extension Block（MWEB）中的零日漏洞。該漏洞使部分仍在使用舊版本軟體的節點，錯誤驗證了一筆無效交易。

攻擊者藉此機制，成功將原本鎖在隱私層的 LTC 透過 peg-out 操作轉回主鏈，並流向第三方去中心化交易所，等同於在鏈上「創造資產」。

13 區塊重組　回滾逾3小時交易紀錄

為阻止損失擴大，萊特幣網路最終進行了一次深度鏈重組（reorg），範圍涵蓋區塊高度 3,095,930 至 3,095,943，共 13 個區塊。這次重組歷時超過 3 小時，最終成功將所有異常交易從鏈上歷史中移除，而正常交易則未受影響。官方強調，目前漏洞已完全修補。

在這段鏈分叉期間，攻擊者利用時間差對多個跨鏈交換協議發動雙花攻擊。部分協議在錯誤鏈上確認交易後，已將資產釋放，導致實際損失。例如跨鏈項目 NEAR Intents 就表示，相關曝險約為 60 萬美元。市場也觀察到多筆雙花交易案例，顯示攻擊具備高度協同性。

首次針對 MWEB 攻擊　隱私與跨鏈風險再受關注

這是自 2022 年萊特幣透過軟分叉啟用 MWEB 以來，首次出現針對該隱私層的攻擊事件。MWEB 原本設計用於在主鏈與隱私側鏈之間進行資產轉移，並確保每個區塊的資產守恆。然而此次漏洞顯示，若 peg-out 驗證機制出現問題，攻擊者便可能在未經授權的情況下生成看似有效的提款交易，直到誠實節點拒絕該區塊為止。

儘管事件嚴重，LTC 價格短期內並未出現劇烈波動，消息公布時約落在 56 美元附近，單日跌幅約 1%。不過，今年以來已累計下跌近 25%。此次事件也發生在加密市場安全事故頻傳之際。2026 年截至目前，DeFi 已累計損失超過 7.5 億美元，其中多數攻擊同樣涉及跨鏈基礎設施，顯示該領域仍是主要風險來源。