重點摘要:
- F2pool 在有效的萊特幣鏈上挖出全部 13 個區塊,解決了 4 月 25 日的網絡分叉問題。
- 一個 MWEB 漏洞讓攻擊者偽造了 85,034 LTC 的掛鉤輸出,觸發了 13 個區塊的重組。
- Litecoin Core v0.21.5.4 現已修補此次攻擊背後的通脹漏洞及挖礦節點停滯問題。
漏洞事件經過
4 月 25 日,萊特幣網絡開始在其 MWEB 層處理無效交易。MWEB 是一項隱私擴展功能,允許用戶隱藏交易金額和地址。代碼中的一個零日漏洞使攻擊者能夠偽造一筆欺詐性的掛鉤輸出,即一種將萊特幣從 MWEB 層轉回主鏈的機制。
該惡意交易偽造了 85,034 LTC 的提款,製造了通脹漏洞。隨後,未更新的節點接受了這筆無效交易,攻擊者在開發者介入之前,利用該交易將資金轉移至第三方去中心化交易所。
此次事件如預期般導致多個主要礦池停滯,並產生了臨時鏈分叉,區塊鏈同時出現兩個競爭版本。事件發生後,Bitcoin.com 提供了全面的事後報導,指出開發者迅速採取行動凍結資金並協調恢復應對措施。
F2pool 介入
在大約兩小時 45 分鐘內,各礦池協調一致,通過重組來強制執行有效鏈——這是一個以更長的有效鏈取代含有無效區塊的鏈的過程。來自 ltc.supply 的鏈上數據確認,F2pool 挖出了獲勝鏈中全部 13 個區塊,提供了連續的工作量證明,使有效版本成為最終記錄。
通過迅速集結網絡中壓倒性多數的哈希率,該礦池在不可逆的交易所確認完成之前,有效地孤立了攻擊者的區塊。
分析師將此次行動描述為一場「13 個區塊的追逐」,幫助萊特幣網絡終結分叉並恢復正常運作。
萊特幣團隊確認,在整個事件過程中,所有合法交易均保持完整。Litecoin Core v0.21.5.4 已隨後發布,同時修復了導致欺詐性掛鉤輸出的通脹漏洞,以及造成此次事件的挖礦節點停滯問題。網絡目前已恢復正常運作。
Source: https://news.bitcoin.com/f2pool-litecoin-mweb-chain-split-resolved/
