原文作者:克洛德,深潮 TechFlow
导读: 莱特币 4 月 25 日遭遇协调攻击,MWEB 隐私层漏洞被利用,攻击者在约 32 分钟内通过未更新节点执行无效交易并在跨链协议上实施双花,NEAR Intents 报告约 60 万美元风险敞口。网络执行 13 区块重组修复链状态,但安全研究人员发现该漏洞早在 37 天前就已被私下修补,「零日攻击」定性遭质疑。官方账号事后嘲讽批评者「待在浅水区」,引发社区强烈反弹。
莱特币网络 4 月 25 日经历了自 2022 年激活 MWEB(MimbleWimble 扩展区块,莱特币的隐私交易层)以来的首次重大安全事件。攻击者利用 MWEB 层的共识漏洞,配合对矿池的拒绝服务攻击,在约 32 分钟内制造了一条包含无效交易的分叉链,并趁窗口期在多个跨链协议上执行双花攻击。
据 The Block 4 月 26 日报道,Aurora Labs CEO Alex Shevchenko 最先在 X 平台标记此次异常,将其定性为一次「协调攻击」,涉及区块#3,095,930 至#3,095,943,恢复过程耗时超过三小时。
攻击分两步执行:先瘫痪矿池,再利用未更新节点
据莱特币基金会 4 月 25 日发布的官方声明,攻击路径可分为两个环节。
第一步是对主要矿池发起 DoS 攻击,拉低运行已更新客户端的节点的算力占比。第二步是利用 MWEB 层的共识漏洞,向仍运行旧版软件的节点注入一笔无效的 MWEB 交易。这些未更新节点错误地将该交易视为合法,允许攻击者从 MWEB 隐私层中「peg out」(将资金从隐私层转出到主链),并将资金路由至第三方去中心化交易所。
Shevchenko 进一步披露了攻击者的链上痕迹:攻击者计划将 LTC 兑换为 ETH,所用地址在攻击发生 38 小时前从币安获得资金。他判断攻击者提前掌握了漏洞信息。
正常情况下,莱特币出块间隔约 2.5 分钟,13 个区块应在约 32 分钟内产出。但此次 13 个区块耗时超过三小时,这一异常最初让部分观察者误判为 51%攻击。实际情况是,一旦 DoS 攻击停止,运行已更新代码的节点重新获得算力优势,网络自动完成了 13 区块重组,将无效交易从主链中移除。莱特币基金会表示,重组期间的所有合法交易不受影响。
跨链协议成实际受害方,NEAR Intents 报告 60 万美元敞口
攻击者利用分叉窗口期,在多个跨链互换协议上执行了双花交易。这些协议接受了后来被重组推翻的 MWEB peg-out 交易,导致实际损失。
Shevchenko 在 X 平台发文称,NEAR Intents 的风险敞口约为 60 万美元,其团队将覆盖用户损失。他同时警告所有接受 LTC 的交易平台审计交易记录和持仓,因为链上存在大量双花交易。
据 Bitcoin News 报道,莱特币确认无效交易已从主链中移除后,NEAR Intents 的实际结算损失可能低于初始估算,但截至发稿该协议尚未发布后续声明。其他暂停 LTC 相关业务的跨链协议也在重新评估风险敞口。
莱特币基金会未披露受影响矿池的名称,也未公开无效 MWEB 交易试图创造的 LTC 数量。
PoW 网络的老问题:升级靠自愿,安全靠运气
Zcash 创始人 Zooko Wilcox 在事件后评论称,此类回滚加双花攻击在 PoW 网络中并非孤例,Monero 和 Grin 近年都遭遇过类似事件。2025 年 9 月,Monero 经历了 12 年来最大的区块重组,被回滚 18 个区块、117 笔交易失效。
据 CoinDesk 分析,这一事件暴露了 PoW 网络的一个结构性矛盾:比特币和莱特币没有强制更新机制,节点可以无限期运行旧版软件。这一设计在去中心化哲学上有其价值,但当安全补丁需要在攻击者利用漏洞之前触达所有人时,就会产生致命窗口。
据 Yahoo Finance 分析,莱特币较小的算力规模和较低的安全预算使其比比特币更容易受到攻击。在比特币网络上回滚 13 个区块需要控制超过 50%的算力,成本以十亿美元计;但在莱特币上,一个漏洞加上一次 DoS 就足以制造同等深度的重组。
官方公关翻车:嘲讽批评者「待在浅水区」,Solana 反击
事件的后续处理可能比攻击本身造成了更大的信任损伤。
4 月 26 日,莱特币官方 X 账号发帖称:「你们中一些人对 PoW、算力、正常运行时间、重组和矿工/链关系一无所知,这很明显。待在浅水区吧,那里对你们更安全。」
据 Bitcoin News 报道,该帖引发数百条敌意回复。用户批评其「傲慢」「幼稚」「不专业」,有人写道「我持有你们的币好几年了,这就是你们发的东西?」. 社区期待的是技术透明度和事后分析,而非嘲讽。
Solana 官方账号也加入了这场互动。在 4 月 25 日重组相关讨论下,@solana 回复道:「周末过得怎么样,小家伙?」社区将其解读为对莱特币此前多次嘲笑 Solana 宕机历史的直接回击。
LTC 截至事件披露后报价约 56 美元,当日跌约 1%,年初至今跌幅约 25%。市场对事件的即时反应相对平淡。
2026 年 DeFi 安全困局:跨链基础设施成最大攻击面
据 The Block 数据,2026 年至 4 月中旬,DeFi 协议已因各类攻击损失超过 7.5 亿美元。其中包括 4 月 19 日 Kelp DAO 桥接攻击(2.92 亿美元)和 4 月 1 日 Solana 永续合约平台 Drift 遭攻击(2.85 亿美元)。多数重大事件都涉及跨链基础设施,与此次莱特币攻击者利用跨链互换协议套现的手法如出一辙。
莱特币事件再次表明,跨链协议在接受 PoW 链资产时面临的确认数问题比预想中更严峻。当一个漏洞客户端发布就能触发 13 区块重组时,6 个确认是否足够安全,已经不是理论问题。
