Key Takeaways
- 萊特幣發布了核心版本 0.21.5.5,這是面向所有節點運營商和錢包用戶的強制性安全更新。
- 該更新修復了 Mimblewimble 擴展區塊 (MWEB) 實現中的一個關鍵驗證錯誤,該錯誤曾導致 4 月份發生 13 個區塊的鏈重組。
- 此補丁強化了 MWEB 共識,提高了節點可靠性,並修復了交易索引的一致性問題。
返回
萊特幣緊急發布核心更新以修補 MWEB 零日漏洞
萊特幣基金會於 5 月 7 日發布了關鍵安全更新核心版本 0.21.5.5,以解決其 Mimblewimble 擴展區塊 (MWEB) 實現中的零日漏洞,該漏洞在 4 月份曾被積極利用。官方敦促所有節點運營商和錢包用戶立即升級。
“Litecoin Core v0.21.5.5 作為一個補丁版本發布,包含了重要的 MWEB 共識強化、節點可靠性改進、錢包和挖礦修復以及構建/測試更新,”萊特幣團隊在 X 平台上發帖表示。
該補丁解決了一個關鍵的驗證錯誤,該錯誤允許攻擊者創建無效的 MWEB 交易,從而導致 4 月份主網發生了 13 個區塊的重組。新版本修復了 MWEB PMMR 倒回損壞問題,提高了 MMR 文件寫入的耐用性,並將 P2P 協議消息的最大長度增加到 32 MB,以適應有效的 MWEB 區塊。
此次事件突顯了工作量證明 (PoW) 區塊鏈(即使是像萊特幣這樣成熟的區塊鏈)持續面臨的安全挑戰。補丁的成功發布對於維持用戶對 MWEB 隱私功能的信任至關重要,而 MWEB 曾是該網絡的一次重大升級。該修復程序防止了輸入和輸出承諾總和為零的 MWEB 交易被納入區塊,從而增強了鏈抵御未來類似攻擊的能力。
MWEB 漏洞利用事後分析
4 月下旬,萊特幣開發人員發布了關於該事件的事後報告。2026 年 3 月發現了一個 MWEB 驗證邏輯中的零日漏洞。隨後攻擊者利用了這一路徑,導致了臨時的鏈分叉,因為升級後的節點正確拒絕了無效區塊,而未升級的節點最初接受了該區塊。
13 個區塊的重組撤銷了無效交易,防止了任何資金損失。新的核心版本永久修復了根本漏洞。更新還包括針對 MWEB P2P 消息、重複掛入 (peg-ins) 和崩潰恢復方案的擴展測試,以防止再次發生。
本文僅供參考,不構成投資建議。
