萊特幣遭雙花攻擊緊急回滾

原文作者：克洛德，深潮 TechFlow

導讀：萊特幣於 4 月 25 日遭遇協調式攻擊，MWEB 隱私層漏洞遭利用，攻擊者在約 32 分鐘內透過未更新節點執行無效交易，並於跨鏈協議上實施雙花；NEAR Intents 報告約 60 萬美元風險敞口。網路執行 13 區塊重組以修復鏈狀態，但安全研究人員發現該漏洞早在 37 天前即已私下修補，「零日攻擊」定性遭質疑。官方帳號事後嘲諷批評者「待在淺水區」，引發社群強烈反彈。

萊特幣網路於 4 月 25 日經歷自 2022 年啟用 MWEB（MimbleWimble 擴展區塊）以來首次重大安全事件。攻擊者藉由 MWEB 層共識漏洞，配合針對礦池的拒絕服務（DoS）攻擊，在約 32 分鐘內建構一條含無效交易的分叉鏈，並趁此短暫視窗於多個跨鏈協議執行雙花攻擊。

據 The Block 於 4 月 26 日報導，Aurora Labs 執行長 Alex Shevchenko 最早於 X 平台標記異常，將此次事件定性為「協調攻擊」，影響區塊範圍為 #3,095,930 至 #3,095,943，整體恢復耗時逾三小時。

攻擊兩階段：先癱瘓礦池，再欺騙舊版節點

萊特幣基金會於 4 月 25 日發布之官方聲明指出，本次攻擊具明確兩階段路徑：

第一階段為對主要礦池發動 DoS 攻擊，壓低運行新版客戶端節點之算力佔比；第二階段則利用 MWEB 共識漏洞，向仍使用舊版軟體之節點廣播一筆無效 MWEB 交易。這些未更新節點誤判其合法性，允許攻擊者從 MWEB 隱私層「peg-out」（資金轉出至主鏈），並進一步將資金路由至第三方去中心化交易所。

Shevchenko 進一步揭露鏈上跡象：攻擊者原計畫將 LTC 兌換為 ETH，所用地址於攻擊發生前 38 小時自幣安提領資金，顯示其可能早已掌握漏洞細節。

正常情況下，萊特幣平均出塊間隔約 2.5 分鐘，13 個區塊應於 32 分鐘內完成。然而此次重組耗時逾三小時，初期令部分觀察者誤判為 51% 攻擊。實際情形為：DoS 攻擊停止後，升級節點迅速重掌算力優勢，網路自動完成 13 區塊重組，將無效交易自主鏈移除。基金會強調，重組期間所有合法交易均不受影響。

跨鏈協議成最大受害方：NEAR Intents 承擔 60 萬美元損失

攻擊者緊抓分叉視窗，在多個跨鏈互換協議上執行雙花——這些協議接受後續遭重組推翻之 MWEB peg-out 交易，因而產生實際資金損失。

Shevchenko 於 X 發文指出，NEAR Intents 風險敞口約 60 萬美元，團隊承諾全額賠付用戶損失。同時警示所有支援 LTC 的交易平台須立即審計交易紀錄與資產餘額，因鏈上已出現大量雙花交易痕跡。

Bitcoin News 報導指出，於萊特幣確認無效交易已自主鏈清除後，NEAR Intents 實際結算損失或低於初始估算；惟截至發稿，該協議尚未發布進一步聲明。其他暫停 LTC 相關業務之跨鏈協議亦正重新評估自身風險敞口。

萊特幣基金會未公開受影響礦池名稱，亦未說明該無效 MWEB 交易試圖鑄造之 LTC 數量。

PoW 網路結構性弱點：升級無強制力，安全仰賴節點自覺

Zcash 創始人 Zooko Wilcox 於事件後評論指出，此類「重組＋雙花」模式於 PoW 網路非屬首例，Monero 與 Grin 近年皆曾遭遇類似事件。例如 2025 年 9 月，Monero 發生 12 年來最大規模區塊重組，共回滾 18 個區塊、使 117 筆交易失效。

CoinDesk 分析指出，本事件凸顯 PoW 網路根本矛盾：比特幣與萊特幣皆無強制升級機制，節點可無限期運行舊版軟體。此設計雖契合去中心化理念，但當關鍵安全修補需於漏洞被利用前全面覆蓋時，便形成致命時間窗口。

Yahoo Finance 分析進一步指出，萊特幣相對較小的算力規模與安全預算，使其比比特幣更易遭受攻擊。於比特幣網路中回滾 13 區塊需掌控逾 50% 算力，成本達十億美元等級；但在萊特幣上，單一漏洞搭配一次 DoS 攻擊，即足以觸發同等深度重組。

官方公關嚴重失當：嘲諷「待在淺水區」引爆社群怒火

事件後續處理所造成的信任損害，甚至高於攻擊本身。

4 月 26 日，萊特幣官方 X 帳號發文表示：「你們之中有些人對 PoW、算力、正常運作時間、重組以及礦工／鏈關係一無所知，這一點非常明顯。待在淺水區吧，那裡對你們更安全。」

Bitcoin News 報導指出，該貼文引發數百則負面回覆。用戶批評其「傲慢」「幼稚」「不專業」，更有長期持倉者直言：「我持有你們的幣好幾年了，這就是你們發的內容？」社群期待的是技術透明度與詳盡事後分析，而非輕蔑嘲諷。

Solana 官方帳號亦介入互動。於 4 月 25 日相關討論串中，@solana 回覆：「週末過得怎麼樣，小傢伙？」社群普遍解讀為針對萊特幣長期嘲諷 Solana 歷次宕機事件的直接反擊。

LTC 於事件披露後報價約 56 美元，單日下跌約 1%，年初至今跌幅達 25%。市場對事件之即時反應相對平淡。

2026 年 DeFi 安全核心挑戰：跨鏈基礎設施成最大攻擊面

The Block 數據顯示，截至 2026 年 4 月中旬，DeFi 協議已因各類攻擊累計損失逾 7.5 億美元。其中包括 4 月 19 日 Kelp DAO 橋接攻擊（2.92 億美元）、4 月 1 日 Solana 永續合約平台 Drift 攻擊（2.85 億美元）。絕大多數重大事件皆涉及跨鏈基礎設施，手法與本次萊特幣攻擊者透過跨鏈互換協議套現高度一致。

萊特幣事件再次證實：跨鏈協議在接收 PoW 鏈資產時所面臨之「確認數門檻」問題，遠比理論預期更嚴峻。當一個漏洞版本客戶端即可觸發 13 區塊重組，「6 個確認是否足夠安全」已不再是學術辯論，而是亟待解決的現實課題。