La Fondation Litecoin a publié le 7 mai une mise à jour de sécurité critique, la version Core 0.21.5.5, pour corriger une vulnérabilité zero-day dans son implémentation du bloc d'extension Mimblewimble (MWEB) qui a été activement exploitée en avril. Tous les opérateurs de nœuds et utilisateurs de portefeuilles sont instamment priés de mettre à jour leur logiciel immédiatement.
"La version Litecoin Core v0.21.5.5, une version corrective, comprend d'importants renforcements du consensus MWEB, des améliorations de la fiabilité des nœuds, des correctifs pour les portefeuilles et le minage, ainsi que des mises à jour de build/test", a déclaré l'équipe Litecoin dans un message sur X.
Le correctif traite un bogue de validation critique qui permettait à un attaquant de créer une transaction MWEB invalide, provoquant une réorganisation de 13 blocs sur le réseau principal en avril. La nouvelle version corrige la corruption du rembobinage MWEB PMMR, améliore la durabilité de l'écriture des fichiers MMR et augmente la longueur maximale des messages du protocole P2P à 32 Mo pour s'adapter aux blocs MWEB valides.
L'incident souligne les défis de sécurité permanents pour les blockchains à preuve de travail (PoW), même les plus établies comme Litecoin. Le succès du correctif est crucial pour maintenir la confiance dans la fonction de confidentialité MWEB, qui était une mise à jour majeure du réseau. Le correctif empêche l'inclusion de transactions MWEB où la somme des engagements d'entrée et de sortie est nulle, renforçant ainsi la chaîne contre de futures attaques similaires.
Fin avril, les développeurs de Litecoin ont publié un rapport post-mortem sur l'incident. Un bogue zero-day dans la logique de validation MWEB a été identifié en mars 2026. Un attaquant a ensuite utilisé ce chemin d'exploitation, entraînant une scission temporaire de la chaîne, car les nœuds mis à jour rejetaient correctement le bloc invalide, tandis que les nœuds non mis à jour l'acceptaient initialement.
La réorganisation de 13 blocs a annulé les transactions invalides, empêchant toute perte de fonds. La nouvelle version Core corrige définitivement le bogue racine. La mise à jour comprend également des tests étendus pour les messages P2P MWEB, les peg-ins en double et les scénarios de récupération après crash afin d'éviter toute récidive.
Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.
