وعلى عكس ادعاءات لايتكوين، يكشف الفحص الدقيق لسجلات GitHub الخاصة بها عن ثغرة أمنية لم يتم الكشف عنها سابقًا وتم استغلالها في عملية إصلاح شاملة حديثة مكونة من 13 كتلة.
أدت عملية إعادة تنظيم سلسلة مكونة من 13 كتلة في أواخر الجمعة والسبت إلى إعادة ما يقرب من 32 دقيقة من نشاط الشبكة بعد أن استخدم المهاجمون ثغرة أمنية في بروتوكول Mimblewimble Extension Block (MWEB) الخاص به.
وقد أدى هذا الخطأ إلى تمكين هجوم رفض الخدمة ضد مجمعات التعدين الرئيسية، مما سمح لمعاملات MWEB غير الصالحة بالمرور عبر العقد التي لم يتم تحديثها، قبل أن تقوم أطول سلسلة صالحة في الشبكة بتصحيحها.
تم إصدار Litecoin Core v0.21.5.4! يُنصح جميع المستخدمين بالترقية. يحتوي هذا الإصدار على تحديثات أمنية مهمة. https://t.co/6vtrhdXi4c — لايتكوين (@litecoin) 25 أبريل 2026
وقالت المؤسسة في ساعات الصباح الآسيوية يوم الأحد إنه تم تصحيح الخلل بالكامل وأن الشبكة تعمل بشكل طبيعي.
ومع ذلك، يقول باحثون بارزون إن مستودع GitHub لمشروع اللايتكوين يحكي قصة مختلفة. قام الباحث الأمني bbsz، الذي يعمل مع مجموعة الاستجابة للطوارئ SEAL911 لاستغلال العملات المشفرة، بنشر الجدول الزمني للتصحيح المأخوذ من سجل الالتزام العام.
الآن بعد أن تم نشر هذه الأشياء على Litecoin GitHub، أصبح لدينا إحساس أفضل بالجدول الزمني وما حدث. قم بتسجيل الدخول إلى git… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF — bbsz (@blackbigswan) 26 أبريل 2026
تم تصحيح الثغرة الأمنية التي سمحت بربط MWEB غير الصالح بشكل خاص في الفترة ما بين 19 و26 مارس، أي قبل أربعة أسابيع تقريبًا من الهجوم. تم تصحيح ثغرة أمنية منفصلة لرفض الخدمة في صباح يوم 25 أبريل.
تم طرح كلا الإصلاحين في الإصدار 0.21.5.4 بعد ظهر نفس اليوم، بعد أن بدأ الهجوم بالفعل.
وكتب bbsz: "يشير التشريح إلى أن يوم الصفر تسبب في حجب الخدمة، مما سمح لمعاملة MWEB غير صالحة بالمرور". "يروي سجل git قصة مختلفة قليلاً."
يشير يوم الصفر إلى ثغرة أمنية غير معروفة للمدافعين في وقت الهجوم.
يُظهر سجل التزام Litecoin أن الثغرة الأمنية المتفق عليها كانت معروفة وتم تصحيحها بشكل خاص قبل شهر من حدوث الاستغلال، ولكن الإصلاح لم يتم بثه علنًا أو مطلوبًا لجميع مجمعات التعدين.
أدى ذلك إلى إنشاء نافذة حيث قام بعض عمال المناجم بتشغيل الكود المصحح بينما قام آخرون بتشغيل الإصدار الذي لا يزال عرضة للخطر، ويبدو أن المهاجمين كانوا يعرفون أي منها.
أثار أليكس شيفتشينكو، المدير التنفيذي للتكنولوجيا في مشروع Aurora التابع لمؤسسة NEAR، مخاوف موازية في سلسلة رسائل.
أظهرت بيانات بلوكتشين أن المهاجم قام بتمويل المحفظة مسبقًا قبل 38 ساعة من الاستغلال من خلال سحب Binance، مع تكوين عنوان الوجهة بالفعل لمبادلة LTC $ إلى ETH في بورصة لا مركزية.
قال شيفتشينكو إن هجوم رفض الخدمة وخطأ MWEB كانا مكونين منفصلين، حيث تم تصميم DoS لأخذ عقد التعدين المصححة دون اتصال بالإنترنت بحيث تشكل العقد غير المصححة السلسلة التي تتضمن المعاملات غير الصالحة.
تشير حقيقة أن الشبكة تعاملت تلقائيًا مع عملية إعادة التنظيم المكونة من 13 كتلة بمجرد توقف DoS إلى معدل تجزئة كافٍ كان يقوم بتشغيل تعليمات برمجية محدثة للتغلب على الهجوم في النهاية، ولكن فقط بعد تشغيل الشوكة غير المصححة لمدة 32 دقيقة.
يُظهر الوصول إلى Litecoin كيف تختلف الهجمات على الشبكات المختلفة في كيفية تفاعل القائمين على صيانة الأكواد والمطورين مع عمليات الاستغلال. تقوم السلاسل الأحدث ذات مجموعات التحقق الأصغر والأكثر مركزية بتنسيق الترقيات من خلال مجموعات الدردشة ويمكنها دفع التصحيحات على مستوى الشبكة خلال ساعات.
تعتمد شبكات إثبات العمل الأقدم مثل Litecoin وBitcoin على مجمعات التعدين المستقلة التي تختار وقت الترقية، وهو ما يعمل من أجل التغييرات غير العاجلة ولكنه يخلق نافذة من الضعف عندما يحتاج التصحيح الأمني إلى الوصول إلى الجميع قبل أن يستغل المهاجم الثغرة.
لم تتحدث مؤسسة Litecoin علنًا عن الجدول الزمني لـ GitHub حتى صباح الأحد.
لم يتم الكشف عن مبلغ LTC المرتبط خلال نافذة الكتلة غير الصالحة وقيمة أي مقايضات مكتملة قبل إلغاء عملية إعادة التنظيم.