据 CoinDesk 报道,Litecoin 网络在上周末发生了一次 13 块高度的链重组,导致约 32 分钟的网络活动被回滚。
此次攻击针对的是 Mimblewntimble 扩展区块(MWEB)协议中的一个漏洞。攻击者利用该漏洞对主要矿池发起拒绝服务(DoS)攻击,从而使无效的 MWEB 交易能够通过那些尚未更新软件的节点。
尽管 Litecoin 基金会在周日表示该漏洞已得到完全修复,且网络运行正常,但公开记录显示,开发者此前其实早已知晓该漏洞。
来自 SEAL911 应急响应小组的安全研究员 bbsz 发现,基金会的事故后分析报告与 Litecoin 项目的 GitHub 仓库记录之间存在矛盾。提交历史显示,核心共识漏洞在 3 月 19 日至 3 月 26 日期间就已进行了私下修复,这比此次攻击发生的时间早了四个多星期。
修复时间线存在差异
GitHub 日志显示,第二个拒绝服务漏洞已于 4 月 25 日上午完成修复。这两项修复均在攻击开始当天的下午被集成到了 0.21.5.4 版本中。
这一时间线表明,在漏洞被开发者发现后,存在一段矿池尚未统一完成更新的真空期。攻击者正是利用这一时间差,针对运行旧版、存在漏洞代码的节点发起了攻击。
“事故后分析称,一个零日漏洞引发了 DoS 攻击,导致无效的 MWEB 交易得以通过,”bbsz 写道,并指出 Git 日志记录的情况则完全不同。
从定义上讲,“零日漏洞”是指在攻击发生时,防御方尚未察觉的漏洞。然而,公开的提交历史表明,Litecoin 开发者早在几周前就已经解决了该共识漏洞。
据 CoinDesk 报道,随着针对已修复矿池的拒绝服务攻击停止,Litecoin 网络最终重组回了有效链。不过,Litecoin 基金会目前尚未披露补丁部署的具体时间线,也未说明在无效区块期间受影响的 LTC 总量。
