Phân tích sau sự cố Litecoin: Lỗ hổng trên MWEB cho phép kẻ tấn công giả mạo việc rút 85.034 LTC trước khi các nhà phát triển đóng băng số tiền này

Điểm chính:

• Một lỗi xác thực MWEB của Litecoin đã cho phép kẻ tấn công thổi phồng và rút 85.034 LTC vào tháng 3 năm 2026, nhưng kẻ tấn công đã trả lại số tiền này để nhận phần thưởng 850 LTC.
• Một nỗ lực khai thác vào tháng 4 năm 2026 đã kích hoạt một cuộc tái tổ chức chuỗi 13 khối, khiến NEAR Intents mất 11.000 LTC được hoán đổi lấy 7,78 BTC.
• Litecoin Core v0.21.5.4 đã vá cả lỗi lạm phát và sự cố ngừng hoạt động của nút khai thác đã dẫn đến sự tái tổ chức vào tháng 4.

Các nhà phát triển Litecoin công bố báo cáo sau sự cố sau khi lỗi MWEB gây ra sự tái tổ chức chuỗi

Báo cáo sau sự cố xác định nguyên nhân gốc rễ là việc thiếu kiểm tra metadata trong quá trình kết nối khối. Khi một đầu vào MWEB chi tiêu một đầu ra trước đó, metadata mà nó mang theo phải khớp với UTXO thực tế đang được tiêu thụ. Kiểm tra này tồn tại trong các đường dẫn mempool và xây dựng khối, nhưng các nhà phát triển xác nhận nó không được áp dụng đầy đủ ở giai đoạn kết nối khối.

Các nhà phát triển phát hiện lỗ hổng này qua quá trình kiểm tra nội bộ vào ngày 19 tháng 3. Một cuộc quét chuỗi cho thấy lỗ hổng đã bị khai thác tại khối 3.073.882. Kẻ tấn công đã sử dụng một đầu vào MWEB độc hại có giá trị thực không quá 1,2084693 LTC để hỗ trợ một giao dịch rút tiền (pegout) trị giá 85.034,47285734 LTC.

Các nhà phát triển cho biết họ đã phối hợp riêng với các nhóm khai thác lớn để ngăn chặn các đầu ra bị thổi phồng trước khi công bố công khai. Một bản phát hành khẩn cấp, Litecoin Core 0.21.5, đã được triển khai cho các thợ đào để chặn các đầu vào bị lỗi mới. Bản phát hành tiếp theo, 0.21.5.1, đã thêm một ngoại lệ lịch sử cho khối khai thác đã được chấp nhận và tạm thời đóng băng ba điểm đầu ra trong suốt chứa tiền của kẻ tấn công.

Kẻ tấn công đã cố gắng chi tiêu ít nhất một đầu ra bị đóng băng. Các thợ đào đã nâng cấp đã từ chối giao dịch này. Các nhà phát triển sau đó đã liên hệ trực tiếp với kẻ tấn công. Kẻ tấn công đồng ý hợp tác và ký một giao dịch khôi phục, chuyển 84.184,47278630 LTC về địa chỉ do nhà phát triển kiểm soát, đồng thời giữ lại 850 LTC làm phần thưởng đã thỏa thuận.

Người sáng lập Litecoin, Charlie Lee, đã mua 850 LTC cần thiết để khôi phục số dư MWEB. Toàn bộ 85.034,47285734 LTC đã được khôi phục vào MWEB trong một giao dịch duy nhất tại độ cao khối 3.078.098, và đầu ra MWEB kết quả đã bị đóng băng. Không có quỹ người dùng nào bị mất trong sự cố tháng 3.

Theo báo cáo sau sự cố, một kẻ tấn công thứ hai đã cố gắng thực hiện cùng một lỗ hổng vào tháng 4, gây ra một sự cố riêng biệt. Các nút đã nâng cấp đã từ chối khối bị lỗi, nhưng cách xử lý dữ liệu khối MWEB bị biến đổi đã khiến một số lệnh RPC khai thác bị treo, bao gồm lệnh submitblock. Các nút khai thác đã nâng cấp bị đình trệ trong khi các thợ đào chưa nâng cấp tiếp tục mở rộng chuỗi không hợp lệ.

Chuỗi không hợp lệ đã phát triển lên 13 khối trước khi các thợ đào đã nâng cấp phối hợp để vượt qua nó. Chuỗi xấu đã bị loại bỏ qua quá trình tái tổ chức (reorg), nhưng một số hệ thống bên thứ ba đã xử lý các giao dịch trên chuỗi không hợp lệ trước khi quá trình tái tổ chức hoàn tất.

NEAR Intents xác nhận kẻ tấn công đã đổi 11.000 LTC lấy 7,78814476 BTC trước khi quá trình tái tổ chức hoàn tất. Số 11.000 LTC đó không còn tồn tại trên chuỗi hợp lệ sau khi tái tổ chức, khiến NEAR Intents phải chịu một khoản lỗ đã được xác nhận. Thorchain báo cáo một khoản lỗ riêng biệt sau khi kẻ tấn công đổi 10 LTC lấy 0,00719957 BTC qua cầu nối của họ trước khi tái tổ chức.

Litecoin Core 0.21.5.4 đã khắc phục tình trạng tắc nghẽn do khối bị biến đổi bằng cách xóa dữ liệu khối đã lưu trữ cho các khối được phân loại là bị biến đổi, cho phép dữ liệu hợp lệ cho cùng một băm khối được chấp nhận sau đó. Bản phát hành này đã được xây dựng và triển khai công khai vào ngày 25 tháng 4.

Bài đăng trên blog phân tích sau sự cố đã thừa nhận một số sai sót trong phản ứng, bao gồm việc xác thực MWEB phụ thuộc quá nhiều vào các kiểm tra không được áp dụng tại thời điểm kết nối khối, việc khôi phục yêu cầu nhiều đợt phát hành thợ đào theo giai đoạn, mỗi đợt đều tiềm ẩn rủi ro phối hợp, và chế độ lỗi khối bị biến đổi vào tháng 4 chưa được thử nghiệm với hành vi RPC khai thác.

Phản ứng của cộng đồng sau bài đăng phân tích sự cố trên X chủ yếu là ủng hộ, với khoảng 70% đến 80% bình luận bày tỏ sự đánh giá cao về tính minh bạch và tốc độ của đội ngũ. Một số phản hồi lưu ý rằng chuỗi khối vẫn hoạt động ổn định và việc công khai thông tin đã góp phần xây dựng thay vì làm suy giảm niềm tin.

Người dùng và nhà điều hành nút được khuyến nghị nâng cấp lên Litecoin Core v0.21.5.4 hoặc phiên bản mới hơn, xác minh rằng nút của họ đang đồng bộ hóa bình thường, và thực hiện lại quá trình lập chỉ mục nếu nút vẫn bị kẹt sau khi khởi động lại. Bài phân tích sau sự cố này được đăng sau bài viết gần đây của Litecoin về việc cải thiện cách đăng bài trên X. "Những người chịu trách nhiệm đăng bài từ tài khoản này [X] sẽ làm tốt hơn trong tương lai," tài khoản X chính thức của Litecoin viết sau khi tài khoản này bị cáo buộc là "trẻ con" vào đầu tuần.