Вопреки заявлениям Litecoin, более пристальное изучение записей GitHub выявило ранее нераскрытую уязвимость, использованную в недавней переработке 13 блоков.

Реорганизация цепочки из 13 блоков поздно вечером в пятницу и субботу отмотала примерно 32 минуты сетевой активности после того, как злоумышленники использовали уязвимость в протоколе Mimblewimble Extension Block (MWEB).

Эта ошибка позволила провести атаку типа «отказ в обслуживании» против основных пулов майнинга, позволив недействительным транзакциям MWEB проходить через узлы, которые не были обновлены, прежде чем самая длинная действующая цепочка сети исправила их.

Выпущен Litecoin Core v0.21.5.4! Всем пользователям рекомендуется обновиться. Этот выпуск содержит важные обновления безопасности. https://t.co/6vtrhdXi4c — Litecoin (@litecoin) 25 апреля 2026 г.

Фонд сообщил, что утром в воскресенье в азиатском регионе ошибка была полностью исправлена, и сеть работает нормально.

Однако видные исследователи утверждают, что репозиторий GitHub проекта Litecoin рассказывает другую историю. Исследователь безопасности bbsz, который работает с группой экстренного реагирования SEAL911 на криптоэксплойты, опубликовал график исправлений, взятый из общедоступного журнала коммитов.

Теперь, когда материал был обнародован на Litecoin GitHub, мы лучше понимаем временную шкалу и то, что произошло. В эпоху Mythos эта временная шкала просто не летает. Вскрытие показывает, что один нулевой день вызвал DoS, который позволил проскользнуть недействительному транзакцию MWEB. Вход в git… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF — bbsz (@blackbigswan) 26 апреля 2026 г.

Консенсусная уязвимость, которая позволяла сделать недействительную привязку MWEB, была исправлена в частном порядке в период с 19 по 26 марта, примерно за четыре недели до атаки. Отдельная уязвимость, связанная с отказом в обслуживании, была исправлена утром 25 апреля.

Оба исправления были добавлены в версию 0.21.5.4 в тот же день, после того как атака уже началась.

«Вскрытие показывает, что один нулевой день стал причиной DoS-атаки, позволившей провести недействительную транзакцию MWEB», — написал bbsz. «Журнал git рассказывает немного другую историю».

Нулевой день относится к уязвимости, неизвестной защитникам во время атаки.

История коммитов Litecoin показывает, что консенсусная уязвимость была известна и исправлена ​​в частном порядке за месяц до эксплойта, но исправление не было публично опубликовано и не требовалось для всех майнинговых пулов.

Это создало окно, в котором некоторые майнеры запускали исправленный код, в то время как другие запускали все еще уязвимую версию, и злоумышленники, похоже, знали, что есть что.

Алекс Шевченко, технический директор проекта «Аврора» Фонда NEAR, выразил параллельную обеспокоенность в своей теме.

Данные блокчейна показали, что злоумышленник предварительно пополнил кошелек за 38 часов до эксплойта посредством вывода средств на Binance, причем адрес назначения уже настроен для обмена $LTC на ETH на децентрализованной бирже.

Атака типа «отказ в обслуживании» и ошибка MWEB — это отдельные компоненты, утверждает Шевченко, а DoS предназначен для отключения исправленных узлов майнинга, чтобы неисправленные узлы формировали цепочку, включающую недействительные транзакции.

Тот факт, что сеть автоматически выполнила реорганизацию из 13 блоков после прекращения DoS, предполагает, что обновленный код работал с достаточной хешрейтом, чтобы в конечном итоге подавить атаку, но только после того, как непропатченный форк проработал в течение 32 минут.

Удар по Litecoin показывает, как атаки на различные сети различаются по тому, как сопровождающие и разработчики кода реагируют на эксплойты. Новые сети с меньшими и более централизованными наборами валидаторов координируют обновления через чат-группы и могут распространять исправления по всей сети за считанные часы.

Старые сети доказательства работы, такие как Litecoin и Bitcoin, полагаются на независимые пулы майнинга, которые выбирают время обновления, что работает для несрочных изменений, но создает окно уязвимости, когда исправление безопасности должно достичь всех, прежде чем злоумышленник воспользуется брешью.

По состоянию на утро воскресенья Litecoin Foundation публично не обращался к графику GitHub.

Сумма $LTC, привязанная во время окна недействительной блокировки, и стоимость любых свопов, завершенных до того, как реорганизация их отменила, не разглашаются.