揭秘莱特币如何成功抵御大规模MWEB攻击

ceshi阅读：2026-04-29 17:22:15

据开发者戴维·伯克特发布的故障分析报告披露，莱特币的MimbleWimble扩展区块隐私层在2026年3月与4月接连发生两起严重安全事件，其根源在于验证机制中存在关键漏洞并被恶意利用。

该问题源于区块连接过程中对MWEB输入项的验证存在缺陷，使得矿工能够嵌入与实际情况不符的畸变元数据。攻击者借此构建异常区块，利用小额输入伪装成从MWEB系统中提取巨额资金的“链外转账”操作。

区块链扫描显示，该漏洞早在3月区块高度3,073,882处已被**利用。攻击者通过该漏洞超额提取超8.5万枚莱特币，资金随即转入透明地址并拆分为三笔输出。矿工群体通过紧急共识规则迅速冻结了相关资产。

开发团队随后与主流矿池秘密协作，在维护网络稳定的同时发布系列紧急更新以强化验证机制。经沟通后，攻击者同意签署资金恢复交易，在保留850枚莱特币作为协商赏金的前提下返还了绝大部分资产。

莱特币创始人查理·李另行补足了资金缺口，**追回资产已重新注入MWEB系统。相关输出被**冻结以恢复系统内部平衡。尽管3月事件未造成用户资金损失，但处理过程高度依赖矿工的快速响应与受控软件部署。

4月发生的第二起事件**了更复杂的隐患：又有攻击者尝试复用相同漏洞路径。虽然升级节点已能正确拒绝异常区块，但对畸变MWEB数据的处理仍导致部分升级版矿工节点停滞运行，严重影响区块提交流程。

未升级矿工在此期间持续构建无效链，直至形成13个区块的无效链段。升级节点协调恢复有效链时，触发了深度链重组。重组虽**了无效区块，但部分第三方系统已处理过来自无效链的交易。

这导致通过相关基础设施完成的跨链兑换服务受到影响，无效链上的资产交易在重组后失效。相关交易所造成的损失仍在评估中。

4月事件的根源与节点处理相同区块哈希对应的畸变MWEB数据有关，这种异常可能干扰后续合法区块的处理。该问题已在莱特币核心客户端0.21.5.4版本中修复，新版客户端将自动丢弃损坏的区块数据以确保后续验证正常进行。

开发团队同时实施了多项修复措施：强化MWEB核算机制、确保各阶段验证准确性，并建立防护机制以避免未来出现类似服务中断或链**的情况。