Litecoin Olay Sonrası Analizi: MWEB Hatası, Geliştiriciler Fonları Dondurmadan Önce Saldırganın 85.034 LTC'lik Sahte Çekiş Yapmasına Olanak Sağladı

Önemli Noktalar:

• Litecoin MWEB doğrulama hatası, bir saldırganın Mart 2026'da 85.034 LTC'yi şişirip pegout etmesine izin verdi, ancak saldırgan 850 LTC ödül karşılığında fonları iade etti.
• Nisan 2026'daki bir istismar girişimi, 13 blokluk bir zincir yeniden düzenlemesini tetikledi ve NEAR Intents'in 7,78 BTC karşılığında takas ettiği 11.000 LTC'yi kaybetmesine neden oldu.
• Litecoin Core v0.21.5.4, hem enflasyon hatasını hem de Nisan ayındaki yeniden düzenlemeye yol açan madencilik düğümü durmasını düzeltir.

Litecoin Geliştiricileri, MWEB Hatası Zincir Yeniden Düzenlemesine Neden Olduktan Sonra Sonuç Raporunu Yayınladı

Sonuç raporu, temel nedeni blok bağlantısı sırasında eksik bir meta veri kontrolü olarak belirledi. Bir MWEB girişi önceki bir çıkışı harcadığında, taşıdığı meta veriler tüketilen gerçek UTXO ile eşleşmelidir. Bu kontrol, mempool ve blok oluşturma yollarında mevcuttu, ancak geliştiriciler bunun blok bağlantı aşamasında tam olarak uygulanmadığını doğruladı.

Geliştiriciler, 19 Mart'ta yapılan iç inceleme sırasında bu güvenlik açığını keşfetti. Bir zincir taraması, istismarın 3.073.882 numaralı blokta çoktan gerçekleştiğini gösterdi. Saldırgan, gerçek değeri 1,2084693 LTC'den fazla olmayan kötü niyetli bir MWEB girdisini kullanarak 85.034,47285734 LTC'lik bir pegout'u destekledi.

Geliştiriciler, kamuoyuna açıklanmadan önce şişirilmiş çıktıları kontrol altına almak için büyük madencilik havuzlarıyla özel olarak koordinasyon sağladıklarını belirtti. Yeni hatalı girdileri engellemek için madencilere acil bir sürüm olan Litecoin Core 0.21.5 gönderildi. Bir sonraki sürüm olan 0.21.5.1, halihazırda kabul edilmiş istismar bloğu için geçmişe dönük bir istisna ekledi ve saldırganın fonlarını tutan üç şeffaf çıkış noktasını geçici olarak dondurdu.

Saldırgan, dondurulmuş en az bir çıkışı harcamaya çalıştı. Güncellenmiş madenciler işlemi reddetti. Geliştiriciler daha sonra saldırganla doğrudan iletişime geçti. Saldırgan işbirliği yapmayı kabul etti ve 84.184,47278630 LTC'yi geliştiricilerin kontrolündeki bir adrese iade eden bir geri alma işlemi imzalarken, 850 LTC'yi kararlaştırılan ödül olarak elinde tuttu.

Litecoin kurucusu Charlie Lee, MWEB bakiyesini tamamlamak için gereken 850 LTC'yi satın aldı. Toplam 85.034,47285734 LTC, blok yüksekliği 3.078.098'de tek bir işlemle MWEB'e geri aktarıldı ve ortaya çıkan MWEB çıkışı donduruldu. Mart ayındaki olayda nihayetinde hiçbir kullanıcı fonu kaybedilmedi.

Olay sonrası analizine göre, Nisan ayında ikinci bir saldırgan aynı istismar yolunu denedi ve ayrı bir arızaya neden oldu. Güncellenmiş düğümler, hatalı biçimlendirilmiş bloğu reddetti, ancak değiştirilmiş MWEB blok verilerinin işlenme şekli, submitblock çağrısı dahil olmak üzere bazı madencilik RPC komutlarının kilitlenmesine neden oldu. Güncellenmiş madencilik düğümleri dururken, güncellenmemiş madenciler geçersiz zinciri uzatmaya devam etti.

Geçersiz zincir, güncellenmiş madenciler onu geçmek için koordinasyon kurmadan önce 13 bloğa ulaştı. Hatalı zincir yeniden düzenlendi, ancak yeniden düzenleme tamamlanmadan önce birkaç üçüncü taraf sistem geçersiz zincirdeki faaliyetleri çoktan işlemişti.
NEAR Intents, saldırganın yeniden düzenleme tamamlanmadan önce 11.000 LTC'yi 7,78814476 BTC ile takas ettiğini doğruladı. Yeniden düzenlemeden sonra bu 11.000 LTC geçerli zincirde artık mevcut değildi, bu da NEAR Intents'e teyit edilmiş bir kayıp bıraktı. Thorchain, saldırganın yeniden düzenlemeden önce köprüsü aracılığıyla 10 LTC'yi 0,00719957 BTC ile takas etmesinden sonra ayrı bir kayıp bildirdi.

Litecoin Core 0.21.5.4, mutasyona uğramış bloklar olarak sınıflandırılan bloklar için depolanan blok verilerini silerek mutasyona uğramış blok durmasını çözdü ve aynı blok hash'i için geçerli verilerin daha sonra kabul edilmesine izin verdi. Sürüm 25 Nisan'da oluşturuldu ve halka açık olarak dağıtıldı.

Olay sonrası blog yazısı, yanıtta birkaç başarısızlığı kabul etti; bunlara MWEB doğrulamasının blok bağlantısında uygulanmayan kontrollere çok fazla güvenmesi, kurtarma işleminin her biri koordinasyon riski taşıyan çok aşamalı madenci sürümlerini gerektirmesi ve Nisan ayındaki mutasyona uğramış blok arıza modunun madencilik RPC davranışına karşı test edilmemiş olması dahildi.

Olay sonrası X gönderisinin ardından topluluktan gelen tepkiler büyük ölçüde destekleyiciydi; yanıtların yaklaşık %70 ila %80'i ekibin şeffaflığı ve hızına takdirlerini dile getirdi. Birkaç yanıtta, zincirin kendisinin sağlam kaldığı ve kamuya açıklamanın güveni zedelemek yerine güçlendirdiği belirtildi.

Kullanıcılara ve düğüm operatörlerine Litecoin Core v0.21.5.4 veya daha yeni bir sürüme yükseltmeleri, düğümlerinin normal şekilde senkronize olduğunu doğrulamaları ve yeniden başlatmanın ardından düğüm takılı kalırsa yeniden indekslemeleri tavsiye ediliyor. Bu postmortem, Litecoin'in X'te paylaşım yapma konusunda daha iyi olacağına dair yakın tarihli gönderisinin ardından geldi. "Bu [X] kullanıcı adı üzerinden paylaşım yapanlar gelecekte daha iyi iş çıkaracaklar," diye yazdı resmi Litecoin X hesabı, hesabın hafta başında "çocuksu" olmakla suçlanmasının ardından.