Litecoin confirme qu'une faille de sécurité de type « zero-day » a provoqué une réorganisation de 13 blocs ; le réseau a été corrigé et est désormais stable

• Litecoin a confirmé qu'un bug « zero-day » avait touché les principaux pools de minage le 25 avril 2026, permettant des transactions MWEB invalides via des nœuds non mis à jour.
• Une réorganisation de 13 blocs a annulé les transactions invalides ; Litecoin affirme que toutes les transactions valides sont en sécurité et que le bug a été entièrement corrigé.
• NEAR Intents avait signalé une exposition de 600 000 dollars, mais les pertes réelles pourraient être inférieures maintenant que Litecoin confirme que les transactions invalides ont été effacées.

Problèmes de réorganisation de Litecoin

Selon l'équipe Litecoin, des nœuds de minage non mis à jour ont traité une transaction MWEB invalide qui a permis de transférer des pièces vers des plateformes d'échange décentralisées (DEX) tierces. Le bug a permis aux attaquants de faire passer des transactions frauduleuses via des nœuds qui n'avaient pas appliqué les mises à jour récentes.

La réorganisation de 13 blocs a constitué la réponse du réseau à cette faille. Elle a annulé les transactions invalides et empêché leur inclusion dans la chaîne principale. L'équipe Litecoin a confirmé que toutes les transactions valides effectuées pendant cette période n'ont pas été affectées.

L'équipe insiste sur le fait que le bug a depuis été entièrement corrigé. Le réseau Litecoin fonctionne normalement, selon la déclaration de l'équipe publiée à 16 h 22 (heure de l'Est) le 25 avril.

Alex Shevchenko, PDG d'Aurora Labs, et l'analyste on-chain Zacodil avaient signalé la réorganisation plus tôt dans la journée, les observateurs interprétant initialement cette réorganisation de 13 blocs comme une attaque classique à 51 %. Les horodatages on-chain ont montré que ces blocs avaient pris plus de trois heures à générer, contre un délai normal d'environ 32 minutes pour 13 blocs, compte tenu du temps de bloc de 2,5 minutes de Litecoin.

La déclaration officielle de Litecoin recadre ce qui s'est passé. La réorganisation n'aurait pas été le fait d'attaquants ayant réussi à réécrire l'historique à des fins lucratives. Il s'agissait plutôt du réseau corrigeant une faille exploitée par un bug en écartant la chaîne invalide.

NEAR Intents avait initialement fait état d'une exposition d'environ 600 000 dollars, affirmant que son équipe couvrirait les pertes des utilisateurs. Litecoin ayant confirmé que les transactions invalides avaient été annulées et supprimées de la chaîne principale, les pertes réelles pourraient être nettement inférieures à celles initialement signalées. NEAR Intents n'a pas encore publié de communiqué de suivi faisant état de cette nouvelle situation.

D'autres protocoles inter-chaînes acceptant le LTC et ayant suspendu leurs activités en réponse à l'incident devraient également réévaluer leur exposition maintenant que l'équipe Litecoin a clarifié la chronologie des événements.

Pour beaucoup, cet incident met en évidence une véritable vulnérabilité des réseaux de preuve de travail (PoW) qui exploitent des nœuds sur des versions logicielles obsolètes. Des nœuds non mis à jour ont traité une transaction qu’ils auraient dû rejeter, ce qui a permis à l’exploit MWEB de s’introduire.

« Ce n'est pas un incident isolé. Il y a eu de nombreuses attaques de type « rollback-and-double-spend » contre des blockchains fonctionnant uniquement sur la preuve de travail, tant il y a quelques années que récemment, y compris récemment contre Monero et Grin », a écrit samedi Zooko Wilcox, fondateur de Zcash. Cette affaire est toujours en cours.