लाइटकॉइन पोस्टमॉर्टम: MWEB बग ने हमलावर को डेवलपर्स द्वारा फंड फ्रीज करने से पहले 85,034 LTC पेगआउट को फेक करने की अनुमति दी।

मुख्य बातें:

• एक लिटecoin MWEB सत्यापन बग ने एक हमलावर को मार्च 2026 में 85,034 LTC को बढ़ा-चढ़ाकर पेग आउट करने की अनुमति दी, लेकिन हमलावर ने 850 LTC की बाउंटी के लिए फंड वापस कर दिए।
• अप्रैल 2026 में एक एक्सप्लॉइट प्रयास ने 13-ब्लॉक चेन रीऑर्ग को ट्रिगर किया, जिसके कारण NEAR Intents ने 7.78 BTC के बदले में 11,000 LTC खो दिया।
• लाइटकॉइन कोर v0.21.5.4 ने मुद्रास्फीति बग और माइनिंग नोड स्टॉल दोनों को ठीक किया है, जिन्होंने अप्रैल के चेन रीऑर्ग को सक्षम किया था।

MWEB बग के कारण चेन रीऑर्ग होने के बाद लाइटकॉइन डेवलपर्स ने पोस्टमॉर्टम जारी किया

पोस्टमॉर्टम में मूल कारण ब्लॉक कनेक्शन के दौरान एक मेटाडेटा जांच की कमी के रूप में पहचाना गया। जब कोई MWEB इनपुट पिछले आउटपुट को खर्च करता है, तो उसमें मौजूद मेटाडेटा का मिलान वास्तव में खर्च किए जा रहे UTXO से होना चाहिए। यह जांच मेम्पूल और ब्लॉक-निर्माण पथों में मौजूद थी, लेकिन डेवलपर्स ने पुष्टि की कि इसे ब्लॉक कनेक्शन चरण में पूरी तरह से लागू नहीं किया गया था।

डेवलपर्स ने 19 मार्च को आंतरिक समीक्षा के माध्यम से इस भेद्यता का पता लगाया। एक चेन स्कैन से पता चला कि ब्लॉक 3,073,882 पर पहले ही शोषण हो चुका था। हमलावर ने एक दुर्भावनापूर्ण MWEB इनपुट का इस्तेमाल किया, जिसका वास्तविक मूल्य 1.2084693 LTC से अधिक नहीं था, ताकि 85,034.47285734 LTC के पेगआउट का समर्थन किया जा सके।

डेवलपर्स ने कहा कि सार्वजनिक प्रकटीकरण से पहले फुलाए गए आउटपुट को रोकने के लिए उन्होंने प्रमुख माइनिंग पूल्स के साथ निजी तौर पर समन्वय किया। एक आपातकालीन रिलीज़, लाइटकॉइन कोर 0.21.5, माइनर्स को नए विकृत इनपुट को ब्लॉक करने के लिए भेजी गई। एक अनुवर्ती रिलीज़, 0.21.5.1, ने पहले से स्वीकृत एक्सप्लॉइट ब्लॉक के लिए एक ऐतिहासिक अपवाद जोड़ा और हमलावर के धन को रखने वाले तीन पारदर्शी आउटपॉइंट्स को अस्थायी रूप से फ्रीज कर दिया।

हमलावर ने कम से कम एक जमे हुए आउटपुट को खर्च करने का प्रयास किया। अपग्रेड किए गए माइनर्स ने उस लेनदेन को अस्वीकार कर दिया। फिर डेवलपर्स ने सीधे हमलावर से संपर्क किया। हमलावर सहयोग करने के लिए सहमत हो गया और एक रिकवरी लेनदेन पर हस्ताक्षर किए जिसने 84,184.47278630 LTC को एक डेवलपर-नियंत्रित पते पर वापस किया, जबकि 850 LTC को एक सहमत इनाम के रूप में रखा गया।

लाइटकॉइन के संस्थापक, चार्ली ली ने MWEB बैलेंस को पूरा करने के लिए आवश्यक 850 LTC खरीदे। पूरा 85,034.47285734 LTC ब्लॉक हाइट 3,078,098 पर एक ही लेनदेन में MWEB में वापस जमा किया गया, और परिणामी MWEB आउटपुट को फ्रीज कर दिया गया। मार्च की घटना में अंततः कोई भी उपयोगकर्ता का धन नहीं खोया।

पोस्टमॉर्टम के अनुसार, अप्रैल में एक दूसरे हमलावर ने उसी एक्सप्लॉइट पथ का प्रयास किया, जिससे एक अलग विफलता हुई। अपग्रेडेड नोड्स ने विकृत ब्लॉक को अस्वीकार कर दिया, लेकिन जिस तरह से रूपांतरित MWEB ब्लॉक डेटा को संभाला गया, उसने कुछ माइनिंग RPC कमांड्स को हैंग कर दिया, जिसमें सबमिटब्लॉक कॉल भी शामिल थी। अपग्रेडेड माइनिंग नोड्स रुक गए जबकि अपग्रेड नहीं किए गए माइनर्स ने अमान्य चेन को बढ़ाना जारी रखा।

अपग्रेड किए गए माइनर्स ने इसे पीछे छोड़ने के लिए समन्वय करने से पहले अमान्य चेन 13 ब्लॉकों तक बढ़ गई थी। खराब चेन को रीऑर्ग करके हटा दिया गया, लेकिन रीऑर्ग पूरा होने से पहले कई तीसरे पक्ष के सिस्टम पहले ही अमान्य चेन पर गतिविधि को प्रोसेस कर चुके थे।

NEAR Intents ने पुष्टि की कि रीऑर्ग पूरा होने से पहले हमलावर ने 11,000 LTC को 7.78814476 BTC के लिए स्वैप किया था। पुनर्गठन के बाद वे 11,000 LTC वैध चेन पर मौजूद नहीं थे, जिससे NEAR इंटेंट्स को एक पुष्ट हुआ नुकसान हुआ। थोरचेन ने पुनर्गठन से पहले हमलावर द्वारा अपने ब्रिज के माध्यम से 10 LTC को 0.00719957 BTC के लिए स्वैप करने के बाद एक अलग नुकसान की सूचना दी।

लाइटकॉइन कोर 0.21.5.4 ने म्यूटेड-ब्लॉक स्टॉल को संबोधित करने के लिए म्यूटेड के रूप में वर्गीकृत ब्लॉकों के लिए संग्रहीत ब्लॉक डेटा को मिटा दिया, जिससे उसी ब्लॉक हैश के लिए वैध डेटा को बाद में स्वीकार किया जा सका। यह रिलीज़ 25 अप्रैल को सार्वजनिक रूप से बनाई और तैनात की गई थी।

पोस्टमॉर्टम ब्लॉगपोस्ट में प्रतिक्रिया में कई विफलताओं को स्वीकार किया गया, जिनमें शामिल हैं कि MWEB सत्यापन उन जांचों पर बहुत अधिक निर्भर था जो ब्लॉक कनेक्शन पर लागू नहीं की गई थीं, कि रिकवरी के लिए कई चरणों में माइनर रिलीज़ की आवश्यकता थी, जिनमें से प्रत्येक में समन्वय जोखिम था, और यह कि अप्रैल के म्यूटेड-ब्लॉक विफलता मोड का परीक्षण माइनिंग RPC व्यवहार के खिलाफ नहीं किया गया था।

पोस्टमॉर्टम X पोस्ट के बाद समुदाय की भावना काफी हद तक सहायक थी, जिसमें लगभग 70% से 80% प्रतिक्रियाओं में टीम की पारदर्शिता और गति की सराहना की गई थी। कई प्रतिक्रियाओं में उल्लेख किया गया कि चेन खुद मजबूत रही और सार्वजनिक प्रकटीकरण ने विश्वास को नुकसान पहुँचाने के बजाय उसे बढ़ाया।

उपयोगकर्ताओं और नोड ऑपरेटरों को Litecoin Core v0.21.5.4 या उसके बाद के संस्करण में अपग्रेड करने, यह सत्यापित करने कि उनका नोड सामान्य रूप से सिंक हो रहा है, और यदि पुनरारंभ करने के बाद नोड अटक जाता है तो उसे रीइंडेक्स करने की सलाह दी जाती है। यह पोस्टमॉर्टम, X पर पोस्ट करने के मामले में बेहतर करने के बारे में लिटecoin के हालिया पोस्ट के बाद आया है। "इसकी जिम्मेदारी जिनकी है, वे [X] हैंडल की पोस्टिंग की जिम्मेदारी संभालने वाले भविष्य में बेहतर करेंगे," आधिकारिक Litecoin X अकाउंट ने लिखा, जब इस हफ्ते की शुरुआत में इस अकाउंट पर "बचकाना" होने का आरोप लगाया गया था।