Mise à jour critique du Litecoin publiée après un incident d'exploitation Zero-Day

L'équipe Litecoin vient d'annoncer une nouvelle version de base, qui contient d'importantes mises à jour de sécurité.

Dans un tweet, le compte officiel X de Litecoin a révélé que la version Core 0.21.5.5 est désormais disponible. Le Litecoin Core v0.21.5.5, une version de correctif, comprend un renforcement important du consensus MWEB, des améliorations de la fiabilité des nœuds, des correctifs de portefeuille et d'exploitation minière et des mises à jour de construction/test. En conséquence, tous les opérateurs de nœuds et utilisateurs de portefeuilles sont fortement encouragés à mettre à niveau dès que possible.

Litecoin Core v0.21.5.5 publié ! Il est conseillé à tous les utilisateurs de mettre à niveau. Cette version contient des mises à jour de sécurité importantes. https://t.co/P2OnC3zQD0

– Fondation Litecoin ⚡️ (@LTCFoundation) 7 mai 2026

La version contient également des changements notables, notamment d'importants correctifs de validation MWEB et de gestion des états.

La longueur maximale des messages du protocole P2P a été augmentée à 32 Mo afin que les blocs et messages MWEB valides rentrent sous la limite de taille de message. La version empêche également la lecture du bloc précédent à partir du disque lors de la construction de transactions HogEx. Cela évite également d'inclure les transactions MWEB dans les blocs candidats lorsque leurs engagements d'entrée et de sortie seraient nuls.

Des tests ont été ajoutés et étendus pour les messages MWEB P2P, les doublons, la récupération après incident, les blocs mutés, l'exploitation minière et le comportement du portefeuille/RPC.

La corruption du rembobinage MWEB PMMR a été corrigée parallèlement à une durabilité améliorée en écriture du fichier MMR. Un problème de cohérence de l'index de transaction qui pouvait survenir si l'écriture des données de bloc échouait après la validation de l'index a été résolu.

Litecoin publie un rapport sur un bug du jour zéro

En avril, Litecoin a subi un bug zero-day, qui a provoqué une attaque DoS qui a perturbé les principaux pools miniers. Les nœuds miniers non mis à jour ont autorisé une transaction MWEB invalide, leur permettant de rattacher des pièces à des DEX tiers. Une réorganisation en 13 blocs a annulé ces transactions invalides, ne leur permettant pas d'être incluses dans la chaîne principale. Le Litecoin Core 0.21.5.4 a été publié peu de temps après pour remédier à l'échec.

À la fin du mois d'avril, un rapport post mortem a été publié sur l'incident. Les développeurs de Litecoin ont identifié un bug de validation critique dans la mise en œuvre du bloc d'extension Mimblewimble de Litecoin en mars 2026. En avril, un deuxième attaquant ou testeur a tenté d'utiliser le même chemin d'exploitation d'origine. Les nœuds mis à niveau ont rejeté le mauvais bloc, ce qui a donné lieu à une chaîne invalide de 13 blocs qui a ensuite été réorganisée après que les mineurs mis à niveau se soient coordonnés sur la chaîne valide. Le bug de racine a maintenant été corrigé.