Contrairement aux affirmations de Litecoin, un examen plus approfondi de ses enregistrements GitHub révèle une vulnérabilité non divulguée exploitée lors d'une récente refonte de 13 blocs.
Une réorganisation de la chaîne de 13 blocs vendredi et samedi a rembobiné environ 32 minutes d'activité réseau après que les attaquants ont utilisé une vulnérabilité dans son protocole Mimblewimble Extension Block (MWEB).
Le bug avait permis une attaque par déni de service contre les principaux pools miniers, permettant aux transactions MWEB invalides de passer par des nœuds qui n'avaient pas été mis à jour, avant que la plus longue chaîne valide du réseau ne les corrige.
Litecoin Core v0.21.5.4 publié ! Il est conseillé à tous les utilisateurs de mettre à niveau. Cette version contient des mises à jour de sécurité importantes. https://t.co/6vtrhdXi4c— Litecoin (@litecoin) 25 avril 2026
La Fondation a déclaré dimanche, dans une matinée asiatique, que le bug avait été entièrement corrigé et que le réseau fonctionnait normalement.
Cependant, d’éminents chercheurs affirment que le référentiel GitHub du projet Litecoin raconte une histoire différente. Le chercheur en sécurité bbsz, qui travaille avec le groupe d'intervention d'urgence SEAL911 pour les exploits cryptographiques, a publié la chronologie des correctifs extraite du journal de validation public.
Maintenant que ces informations ont été rendues publiques sur le Litecoin GitHub, nous avons une meilleure idée de la chronologie et de ce qui s'est passé. À l'ère du mythe, cette chronologie ne fonctionne tout simplement pas. L'autopsie indique qu'un jour zéro a provoqué un DoS qui a laissé passer une transmission MWEB invalide. Le git se connecte… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF— bbsz (@blackbigswan) 26 avril 2026
La vulnérabilité consensuelle qui permettait le couplage MWEB invalide a été corrigée en privé entre le 19 et le 26 mars, environ quatre semaines avant l'attaque. Une vulnérabilité de déni de service distincte a été corrigée le matin du 25 avril.
Les deux correctifs ont été intégrés à la version 0.21.5.4 le même après-midi, alors que l'attaque avait déjà commencé.
"L'autopsie indique qu'un jour zéro a provoqué un DoS qui a laissé passer une transaction MWEB invalide", a écrit bbsz. "Le journal git raconte une histoire légèrement différente."
Un zero-day fait référence à une vulnérabilité inconnue des défenseurs au moment d’une attaque.
L'historique des validations de Litecoin montre que la vulnérabilité consensuelle était connue et corrigée en privé un mois avant l'exploit, mais le correctif n'avait pas été diffusé publiquement ni requis pour tous les pools miniers.
Cela a créé une fenêtre dans laquelle certains mineurs ont exécuté le code corrigé tandis que d'autres ont exécuté la version encore vulnérable, et les attaquants semblent savoir lequel était lequel.
Alex Shevchenko, directeur technique du projet Aurora de la Fondation NEAR, a soulevé des préoccupations parallèles dans un fil de discussion.
Les données de la blockchain ont montré que l'attaquant avait préfinancé un portefeuille 38 heures avant l'exploit via un retrait Binance, avec l'adresse de destination déjà configurée pour échanger $LTC en ETH sur un échange décentralisé.
L'attaque par déni de service et le bug MWEB étaient des composants distincts, a expliqué Shevchenko, le DoS étant conçu pour mettre hors ligne les nœuds miniers corrigés afin que ceux non corrigés forment la chaîne qui incluait les transactions invalides.
Le fait que le réseau ait automatiquement géré la réorganisation de 13 blocs une fois le DoS arrêté suggère que suffisamment de hashrate exécutait du code mis à jour pour finalement vaincre l'attaque, mais seulement après que le fork non corrigé ait fonctionné pendant 32 minutes.
Un succès sur Litecoin montre à quel point les attaques sur différents réseaux diffèrent dans la façon dont les mainteneurs de code et les développeurs réagissent aux exploits. Les chaînes plus récentes dotées d'ensembles de validateurs plus petits et plus centralisés coordonnent les mises à niveau via des groupes de discussion et peuvent diffuser des correctifs sur l'ensemble du réseau en quelques heures.
Les réseaux de preuve de travail plus anciens comme Litecoin et Bitcoin s'appuient sur des pools miniers indépendants qui choisissent le moment de la mise à niveau, ce qui fonctionne pour les changements non urgents mais crée une fenêtre de vulnérabilité lorsqu'un correctif de sécurité doit atteindre tout le monde avant qu'un attaquant n'exploite cette lacune.
La Fondation Litecoin n’a pas publiquement abordé la chronologie de GitHub dimanche matin.
Le montant de $LTC fixé pendant la fenêtre de blocage invalide et la valeur de tous les swaps réalisés avant que la réorganisation ne les annule n'ont pas été divulgués.