- Un bug MWEB zero-day permet aux attaquants de doubler la LTC à travers plusieurs protocoles DEX maintenant.
- NEAR Intents a confirmé une exposition de 600 000 $ et a indiqué que les utilisateurs seraient entièrement couverts en cas de perte.
- La réorganisation sur 13 blocs a pris plus de trois heures et a annulé toutes les transactions invalides sur la chaîne.
Litecoin a subi une attaque ce week-end. Une vulnérabilité zero-day a été exploitée dans une opération coordonnée qui a mis hors ligne les principaux pools de minage, déclenché une réorganisation de la chaîne sur 13 blocs, et permis des attaques double-spend à travers plusieurs protocoles d’échange inter-chaînes.
L’attaque a ciblé un bug dans la couche de transactions de confidentialité MWEB de Litecoin. Les nœuds de minage non mis à niveau ont accepté une transaction MWEB invalide, permettant aux attaquants d’indexer les pièces sur des plateformes décentralisées tierces. La réorganisation de 13 blocs, qui a pris plus de trois heures à générer, a finalement annulé ces transactions invalides. Elles n’apparaîtront pas dans la chaîne principale.
Faits clés de la mise à jour officielle de Litecoin :
- Un bug zero-day a provoqué une attaque de déni de service qui a perturbé les principaux pools de minage
- Les transactions MWEB invalides permettaient d’associer des pièces à des DEX tiers
- Une réorganisation de 13 blocs a annulé toutes les transactions invalides de la chaîne principale
- Toutes les transactions valides durant cette période restent totalement inchangées
- Le bug est maintenant corrigé et le réseau fonctionne normalement
Les dégâts
L’impact financier le plus concret a été porté sur NEAR Intents, un protocole inter-chaîne capturé dans la fenêtre de double dépense. La plateforme a confirmé une exposition d’environ 600 000 $, ajoutant que les utilisateurs ne supporteront pas ces pertes car le protocole les couvrira directement.
Les enquêteurs recommandent que tous les lieux de négociation gérant des LTC auditent leurs transactions et avoirs de la période concernée, notant qu’un nombre significatif de transactions de double dépense ont été identifiées tout au long de la chaîne.
Coup de l’intérieur ? Les preuves sont inconfortables
Alex Shevchenko, développeur d’Aurora, a publié une analyse détaillée qui soulève des questions auxquelles le cadre officiel du zero-day ne répond pas complètement.
Les préoccupations de Shevchenko en résumé :
- Le portefeuille de l’attaquant avait été financé 38 heures avant l’exploit via Binance
- L’attaque DoS et le bug MWEB étaient deux mécanismes distincts mais coordonnés
- La récupération automatique prouve que des nœuds améliorés existaient, ce qui signifie que le bug était connu
- Les fournisseurs RPC comme QuickNode n’ont apparemment pas été informés, malgré la mise à jour des mineurs
- Quelqu’un pouvait savoir précisément quels mineurs avaient ou non amélioré
« Y a-t-il une chance que l’attaquant sache qui a amélioré et qui ne l’a pas fait ? » Shevchenko écrivit publiquement.
L’équipe centrale de Litecoin n’a pas abordé directement la question des emplois internes. Le correctif est en ligne, le réseau fonctionne normalement, et les transactions invalides ont été effacées de la chaîne.
En lien : Le halving de Litecoin en 2027 arrive : ce que l’histoire dit des mouvements de prix des LTC
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
