Key Takeaways
- 莱特币发布了核心版本 0.21.5.5,这是面向所有节点运营商和钱包用户的强制性安全更新。
- 该更新修复了 Mimblewimble 扩展区块 (MWEB) 实现中的一个关键验证错误,该错误曾导致 4 月份发生 13 个区块的链重组。
- 此补丁强化了 MWEB 共识,提高了节点可靠性,并修复了交易索引的一致性问题。
返回
莱特币紧急发布核心更新以修补 MWEB 零日漏洞
莱特币基金会于 5 月 7 日发布了关键安全更新核心版本 0.21.5.5,以解决其 Mimblewimble 扩展区块 (MWEB) 实现中的零日漏洞,该漏洞在 4 月份曾被积极利用。官方敦促所有节点运营商和钱包用户立即升级。
“Litecoin Core v0.21.5.5 作为一个补丁版本发布,包含了重要的 MWEB 共识强化、节点可靠性改进、钱包和挖矿修复以及构建/测试更新,”莱特币团队在 X 平台上发帖表示。
该补丁解决了一个关键的验证错误,该错误允许攻击者创建无效的 MWEB 交易,从而导致 4 月份主网发生了 13 个区块的重组。新版本修复了 MWEB PMMR 倒回损坏问题,提高了 MMR 文件写入的耐用性,并将 P2P 协议消息的最大长度增加到 32 MB,以适应有效的 MWEB 区块。
此次事件突显了工作量证明 (PoW) 区块链(即使是像莱特币这样成熟的区块链)持续面临的安全挑战。补丁的成功发布对于维持用户对 MWEB 隐私功能的信任至关重要,而 MWEB 曾是该网络的一次重大升级。该修复程序防止了输入和输出承诺总和为零的 MWEB 交易被纳入区块,从而增强了链抵御未来类似攻击的能力。
MWEB 漏洞利用事后分析
4 月下旬,莱特币开发人员发布了关于该事件的事后报告。2026 年 3 月发现了一个 MWEB 验证逻辑中的零日漏洞。随后攻击者利用了这一路径,导致了临时的链分叉,因为升级后的节点正确拒绝了无效区块,而未升级的节点最初接受了该区块。
13 个区块的重组撤销了无效交易,防止了任何资金损失。新的核心版本永久修复了根本漏洞。更新还包括针对 MWEB P2P 消息、重复挂入 (peg-ins) 和崩溃恢复方案的扩展测试,以防止再次发生。
本文仅供参考,不构成投资建议。
