资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
莱特币MWEB隐私层遭遇重大安全事件
据开发者戴维·伯克特发布的故障分析报告披露,莱特币的MimbleWimble扩展区块隐私层在2026年3月与4月接连发生两起严重安全事件,其根源在于验证机制中存在关键漏洞并被恶意利用。
该问题源于区块连接过程中对MWEB输入项的验证存在缺陷,使得矿工能够嵌入与实际情况不符的畸变元数据。攻击者借此构建异常区块,利用小额输入伪装成从MWEB系统中提取巨额资金的“链外转账”操作。
MWEB事件时间线
区块链扫描显示,该漏洞早在3月区块高度3,073,882处已被首次利用。攻击者通过该漏洞超额提取超8.5万枚莱特币,资金随即转入透明地址并拆分为三笔输出。矿工群体通过紧急共识规则迅速冻结了相关资产。
开发团队随后与主流矿池秘密协作,在维护网络稳定的同时发布系列紧急更新以强化验证机制。经沟通后,攻击者同意签署资金恢复交易,在保留850枚莱特币作为协商赏金的前提下返还了绝大部分资产。
莱特币创始人查理·李另行补足了资金缺口,全部追回资产已重新注入MWEB系统。相关输出被永久冻结以恢复系统内部平衡。尽管3月事件未造成用户资金损失,但处理过程高度依赖矿工的快速响应与受控软件部署。
4月发生的第二起事件暴露了更复杂的隐患:又有攻击者尝试复用相同漏洞路径。虽然升级节点已能正确拒绝异常区块,但对畸变MWEB数据的处理仍导致部分升级版矿工节点停滞运行,严重影响区块提交流程。
未升级矿工在此期间持续构建无效链,直至形成13个区块的无效链段。升级节点协调恢复有效链时,触发了深度链重组。重组虽清除了无效区块,但部分第三方系统已处理过来自无效链的交易。
这导致通过相关基础设施完成的跨链兑换服务受到影响,无效链上的资产交易在重组后失效。相关交易所造成的损失仍在评估中。
系统修复与升级
4月事件的根源与节点处理相同区块哈希对应的畸变MWEB数据有关,这种异常可能干扰后续合法区块的处理。该问题已在莱特币核心客户端0.21.5.4版本中修复,新版客户端将自动丢弃损坏的区块数据以确保后续验证正常进行。
开发团队同时实施了多项修复措施:强化MWEB核算机制、确保各阶段验证准确性,并建立防护机制以避免未来出现类似服务中断或链分裂的情况。
