Entgegen den Behauptungen von Litecoin offenbart eine genauere Untersuchung seiner GitHub-Aufzeichnungen eine bisher nicht offengelegte Schwachstelle, die bei einer kürzlichen 13-Block-Überarbeitung ausgenutzt wurde.
Eine 13-Block-Chain-Reorganisation am späten Freitag und Samstag hat etwa 32 Minuten Netzwerkaktivität zurückgespult, nachdem Angreifer eine Schwachstelle im Mimblewimble Extension Block (MWEB)-Protokoll ausgenutzt hatten.
Der Fehler hatte einen Denial-of-Service-Angriff auf große Mining-Pools ermöglicht, der es den ungültigen MWEB-Transaktionen ermöglichte, durch nicht aktualisierte Knoten zu schlüpfen, bevor die längste gültige Kette des Netzwerks sie korrigierte.
Litecoin Core v0.21.5.4 veröffentlicht! Allen Benutzern wird empfohlen, ein Upgrade durchzuführen. Diese Version enthält wichtige Sicherheitsupdates. https://t.co/6vtrhdXi4c – Litecoin (@litecoin) 25. April 2026
Die Stiftung teilte in den Morgenstunden Asiens am Sonntag mit, dass der Fehler vollständig behoben sei und das Netzwerk normal funktioniere.
Prominente Forscher sagen jedoch, dass das GitHub-Repository des Litecoin-Projekts eine andere Geschichte erzählt. Der Sicherheitsforscher bbsz, der mit der Notfallgruppe SEAL911 für Krypto-Exploits zusammenarbeitet, hat die Patch-Zeitleiste aus dem öffentlichen Commit-Protokoll veröffentlicht.
Jetzt, wo die Dinge auf dem Litecoin-GitHub veröffentlicht wurden, haben wir ein besseres Gespür für die Zeitachse und das, was passiert ist. Im Zeitalter von Mythos läuft diese Zeitachse einfach nicht. Die Obduktion besagt, dass ein Zero-Day einen DoS verursacht hat, der einen ungültigen MWEB-Transfer durchschlüpfen ließ. Der Git meldet sich an… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF – bbsz (@blackbigswan) 26. April 2026
Die Konsens-Schwachstelle, die den ungültigen MWEB-Peg-Out ermöglichte, wurde zwischen dem 19. und 26. März, etwa vier Wochen vor dem Angriff, privat gepatcht. Eine separate Denial-of-Service-Schwachstelle wurde am Morgen des 25. April geschlossen.
Beide Fixes wurden noch am selben Nachmittag in die Version 0.21.5.4 übernommen, nachdem der Angriff bereits begonnen hatte.
„Die Obduktion besagt, dass ein Zero-Day einen DoS verursacht hat, der eine ungültige MWEB-Transaktion durchschlüpfen ließ“, schrieb bbsz. „Das Git-Log erzählt eine etwas andere Geschichte.“
Ein Zero-Day bezieht sich auf eine Schwachstelle, die den Verteidigern zum Zeitpunkt eines Angriffs unbekannt war.
Der Commit-Verlauf von Litecoin zeigt, dass die Konsens-Schwachstelle bekannt war und einen Monat vor dem Exploit privat gepatcht wurde, der Fix jedoch nicht öffentlich bekannt gegeben wurde oder für alle Mining-Pools erforderlich war.
Dadurch entstand ein Fenster, in dem einige Miner den gepatchten Code ausführten, während andere die immer noch anfällige Version ausführten, und die Angreifer schienen zu wissen, wer welcher war.
Alex Shevchenko, CTO des Aurora-Projekts der NEAR Foundation, äußerte in einem Thread ähnliche Bedenken.
Blockchain-Daten zeigten, dass der Angreifer 38 Stunden vor dem Exploit durch eine Binance-Auszahlung eine Vorfinanzierung einer Wallet vorgenommen hatte, wobei die Zieladresse bereits für den Tausch von $LTC in ETH an einer dezentralen Börse konfiguriert war.
Der Denial-of-Service-Angriff und der MWEB-Bug seien getrennte Komponenten, argumentierte Shevchenko, wobei der DoS darauf ausgelegt sei, gepatchte Mining-Knoten offline zu schalten, sodass die ungepatchten die Kette bilden würden, die die ungültigen Transaktionen enthielt.
Die Tatsache, dass das Netzwerk die 13-Block-Reorganisation nach dem Stoppen des DoS automatisch durchführte, deutet darauf hin, dass genügend Hashrate aktualisierten Code ausführte, um den Angriff schließlich abzuwehren, allerdings erst, nachdem der ungepatchte Fork 32 Minuten lang gelaufen war.
Ein Treffer auf Litecoin zeigt, wie sich Angriffe auf verschiedene Netzwerke darin unterscheiden, wie Code-Betreuer und Entwickler auf Exploits reagieren. Neuere Ketten mit kleineren, stärker zentralisierten Validierungssätzen koordinieren Upgrades über Chat-Gruppen und können Patches innerhalb von Stunden netzwerkweit veröffentlichen.
Ältere Proof-of-Work-Netzwerke wie Litecoin und Bitcoin verlassen sich darauf, dass unabhängige Mining-Pools entscheiden, wann ein Upgrade durchgeführt werden soll. Dies funktioniert bei nicht dringenden Änderungen, schafft aber ein Zeitfenster der Schwachstelle, wenn ein Sicherheitspatch alle erreichen muss, bevor ein Angreifer die Lücke ausnutzt.
Die Litecoin Foundation hat sich bis Sonntagmorgen nicht öffentlich zum GitHub-Zeitplan geäußert.
Der Betrag an $LTC, der während des ungültigen Blockfensters abgezogen wurde, und der Wert aller Swaps, die abgeschlossen wurden, bevor die Umstrukturierung sie rückgängig machte, wurden nicht bekannt gegeben.