萊特幣修補 MWEB 驗證漏洞　曾導致逾 85,000 LTC 短暫增發

【要點】萊特幣（Litecoin）開發團隊披露，MimbleWimble Extension Block（MWEB）系統存在關鍵驗證漏洞，曾令礦工可在已挖出區塊中加入不匹配的元資料，觸發逾 85,000 LTC 的短暫增發事件。團隊其後透過礦池協作凍結相關輸出並回收資金。其後再有攻擊嘗試引發 13 個區塊的無效分叉鏈，但已更新節點拒收並恢復共識，用戶未見持續性影響。 萊特幣網絡已發布事後報告（postmortem），交代 MWEB 區塊驗證流程中的一項脆弱點：區塊連接到主鏈時，輸入（input）的元資料與實際 UTXO 之間的關聯未被完整重驗，令攻擊者可在驗證階段製造不一致，形成可被針對的攻擊面。 【2026 年 3 月：漏洞細節、85,034 LTC 事件與資金回收】開發者於 2026 年 3 月發現，MWEB 輸入在區塊接入鏈上時沒有被全面重新驗證。惡意礦工可藉此夾帶錯誤元資料，將一筆細小輸入偽裝成大額，最終完成 85,034 LTC 的 pegout。由於攻擊必須直接參與出塊，外溢風險相對受限。 事件確認後，主要礦池協調行動，凍結受影響輸出以阻止進一步濫用。其後攻擊者同意配合，按協議以 850 LTC 懸賞（bounty）作交換，歸還大部分資金；該 850 LTC 由 Charlie Lee 承擔，令整體餘額得以全數補回。回收的 LTC 其後重新 peg 入 MWEB 並鎖定，以維持內部帳目一致性。官方表示未有確認用戶資金損失，反映在漏洞嚴重程度下仍能有效圍堵。 【2026 年 4 月：分叉與重組事件】4 月期間，再有攻擊者嘗試沿同一路徑利用漏洞，已更新的節點即時拒收相關區塊，但同時暴露出「被變異的區塊數據」問題。部分已升級礦工一度無法維持正常出塊流程，未更新的參與者則延伸出一條 13 個區塊的無效鏈。其後已更新礦工再度協調，推進有效鏈直至反超無效鏈，完成重組並移除所有惡意區塊。 需要留意的是，個別外部協議在更正前曾於無效鏈上處理交易，導致跨鏈環境出現零星損失。Litecoin Core 0.21.5.4 已針對該邊界情況作出修正，確保受損或被污染的區塊數據不會干擾日後有效區塊的提交，提升節點整體穩定性。 事件反映去中心化系統面對重大故障時的應對速度。MWEB 這類以私隱為重的升級帶來更複雜的驗證要求，但萊特幣開發者與礦工透過協作、透明披露及快速修補，維持網絡長期完整性。