Gate News メッセージ、4月26日 — ライトコインは、ライトコイン財団によると、土曜日に攻撃者が MimbleWimble Extension Block (MWEB) のプライバシー層にあるゼロデイ脆弱性を悪用したことで、深いチェーンの再編成 (reorg) を経験しました。このバグにより、古いソフトウェアを実行しているマイニングノードが無効な MWEB トランザクションを検証できるようになり、攻撃者がプライバシー拡張から LTC を引き出して第三者の分散型取引所へ資金を振り向けることを可能にしました。同じ欠陥に結び付いたサービス拒否攻撃により、主要マイニングプールも同時に被害を受けました。
フォークはブロック 3,095,930 から 3,095,943 にまたがり、生成に3時間超を要しました。その間、攻撃者は、いまや孤立(オーファン)となった MWEB の引き出しを受け入れていた複数のクロスチェーン・スワップ・プロトコルに対してダブルスぺンド攻撃を実行しました。Aurora Labs CEO の Alex Shevchenko はこれを「協調的な攻撃」と特徴づけました。財団は、不正なトランザクションは最終的にすべてライトコインの履歴から消去されたことを確認した一方、当該期間中の正当なトランザクションは影響を受けていないとしました。脆弱性は完全にパッチ適用済みです。
今回のインシデントによる経済的な影響としては、NEAR Intents で約 $600,000 が含まれ、Shevchenko は多くのダブルスぺンド・トランザクションがあることから、すべての取引プラットフォームが LTC のトランザクションおよび保有分を監査すべきだと推奨しました。財団は、無効なトランザクションが作成した LTC の総量や、影響を受けたマイニングプール名は開示しませんでした。
LTC は土曜日の午後 ET に約 $56.00 近辺で取引され、開示後に即時の市場反応はなく、当日はおおむね 1% 下落でしたが、年初来ではほぼ 25% 下落しています。これは、Litecoin が 2022年5月にソフトフォークでプライバシー拡張を有効化して以来、MWEB への最初に知られた攻撃となります。この事件は、暗号資産のセキュリティにとって厳しい時期のさなかに起きており、DeFi プロトコルは 2026年の4月中旬までに、$750 million 以上をエクスプロイトで失っています。これには、4月19日の $292 million Kelp DAO ブリッジのドレインや、4月1日の $285 million による Solana ベースの Drift への攻撃が含まれます。こうした事案の多くはクロスチェーン基盤が関与しており、伝えられるところでは、ライトコインの攻撃者が再編成前に得を動かすために使ったのと同じ攻撃面が用いられたとされています。
