莱特币MWEB漏洞修复：币安官网注册用户可实时追踪链上动态

莱特币隐私扩展功能中发现关键验证缺陷

莱特币（LTC）开发团队近日披露，在其MimbleWimble扩展区块（MWEB）实现中存在一个“致命验证缺陷”。该漏洞允许攻击者通过构造虚假支出数据，从链上提取远超实际金额的资金。2026年3月曾出现一笔被虚增至85034.47285734 LTC的异常转出交易，引发社区高度关注。

事后分析与应对措施

开发者大卫·伯克特于4月28日发布详细分析报告。问题根源在于区块连接过程中缺失了对MWEB输入所依赖元数据的关键验证环节。尽管常规交易路径已有验证机制，但在区块合并阶段却未能执行，导致攻击者可利用小额输入（实际价值不足1.2084693 LTC）附加**承诺，生成巨额虚假转出。

此类攻击需具备挖矿能力或矿工配合，攻击者将异常交易发送至透明地址后拆分为三笔输出。为遏制事态，开发团队迅速与主要矿池展开非公开协作，紧急发布面向矿工的莱特币核心客户端0.21.5与0.21.5.1版本。0.21.5.1不仅添加历史例外处理，还临时冻结了攻击者控制的三个输出，防止资金进一步流转。

资金追回与后续事件

攻击者尝试花费其中一个被冻结输出时，已更新节点拒绝了交易。经沟通，攻击者**签署恢复交易，将84184.47278630 LTC返还至回收地址，850 LTC作为“赏金”支付给其自身。查理出资购入850 LTC填补缺口。总额85034.47285734 LTC在区块高度3,078,098处重新转入MWEB，并冻结相关输出，以恢复内部供应平衡。

第二起事件发生于4月25日，区块高度3,095,931。另一行为者尝试复现漏洞，但因节点已更新而失败。此过程暴**独立的“区块变异”问题——部分序列化数据可在不改变哈希的情况下变动，导致更新节点接收后处理失败，归类为“BLOCK_MUTATED”，干扰正常同步流程。

未更新矿工因此产生13个无效区块，直至高度3,095,943。在已更新矿工协作下，有效链完成重组，移除无效分支。开发团队强调，此次并非回滚历史，而是**错误链。然而外部生态受损严重：NEAR协议生态中，NEAR Intents在兑换11000 LTC为7.78814476 BTC时遭遇重大损失；THORChain也有一笔10 LTC兑换0.00719957 BTC的交易因链重组失效。

莱特币核心客户端0.21.5.4版本已**修复该问题，删除“变异区块”存储数据，使同一哈希可再次接受合法数据。开发团队再次敦促矿工、交易所及服务提供商尽快升级至0.21.5.4或更高版本，并检查同步状态。

对于希望实时掌握区块链安全动态与资产变化的用户，建议通过官网并app，获取多币种行情、链上分析工具与风险预警服务。币安提供全球**的加密资产交易环境，支持快速查询交易记录与节点状态，帮助用户及时响应网络异常。同时，用户也可参考官网或APP进行对比操作，拓展跨平台资产管理能力。