莱特币遭遇深度重组攻击：MWEB隐私层零日漏洞被利用

周六，莱特币网络经历了一场不小的风波。莱特币基金会发布声明称，攻击者利用了一个与莱特币MimbleWimble扩展区块隐私层相关的零日漏洞，最终导致了链上发生了一次深度重组，或者说“重组”。这事儿，得从基金会发布在X上的一则帖子说起。

大家都在用的虚拟币交易平台推荐：

• OKX（欧易）>>>进入官网<<< >>>官方下载<<<
• Binance（币安）>>>进入官网<<< >>>官方下载<<<

那么，这个漏洞究竟是怎么回事？根据基金会的说法，它让那些运行旧版软件的挖矿节点，能够验证本应无效的MWEB交易。攻击者正是钻了这个空子，成功将代币从隐私扩展层中剥离出来，并转移到了第三方去中心化交易所。雪上加霜的是，一些大型矿池也因此遭到了拒绝服务攻击，可谓是一波未平一波又起。

Aurora Labs的首席执行官Alex Shevchenko将这次事件定性为“有组织的攻击”。他在X上进一步透露，这次分叉从第3,095,930个区块一直延伸到了第3,095,943个区块，整个过程持续了三个多小时。关键问题在于，在此期间，攻击者对多个接受了当时已被孤立MWEB锚定协议的跨链交换协议，实施了双花攻击。

当然，基金会也在声明中安抚社区：所有违规交易最终都从莱特币的历史记录中被清除了，而该时间段内的有效交易则未受影响。基金会还强调，漏洞目前已被完全修复。不过，话虽如此，部分交易平台已经报告了因此次事件蒙受的损失。

“NEAR Intents的风险敞口大约在60万美元左右，”Shevchenko在X上写道，“我们建议所有莱特币交易平台都对自己的交易和持仓进行一次审计。我们发现了不少双重支付交易。”这无疑给整个生态敲响了警钟。

周六的事件意义非同小可，这是自莱特币激活MWEB隐私扩展以来，该功能首次遭受已知的攻击。这个隐私扩展是通过2022年5月的一次软分叉上线的，它允许用户通过锚定交易，将LTC从透明的底层主链转移到保密的侧链。这个扩展的核心职责，就是在每个区块中验证两层之间的代币守恒。

然而，漏洞就出在这里：它导致了一些看似有效、实则未经授权的交易被挂起。攻击者利用这一点，得以向主链大量写入莱特币，直到诚实的节点拒绝了这个恶意区块。值得注意的是，基金会既没有透露具体是哪些矿池受到了影响，也没有披露这些无效的MWEB交易究竟产生了多少莱特币。

市场对此事的反应如何？截至美国东部时间下午4:30左右，LTC的交易价格接近56.00美元，当日跌幅约1%，市场并未对这一披露做出即时剧烈反应。根据The Block的莱特币价格页面显示，该代币今年迄今已下跌近25%。此次安全事件，无疑给其市场表现又增添了一层不确定性。

话说回来，这次事件发生的大背景，是当前异常严峻的加密货币安全形势。截至2026年4月中旬，DeFi协议因漏洞攻击造成的损失已超过7.5亿美元。这其中包括了4月19日Kelper DAO桥被盗的2.92亿美元，以及4月1日基于Solana的永续合约平台Drift遭遇的2.85亿美元攻击。这些事件大多与跨链基础设施有关，而据报道，莱特币的攻击者在实施重组前，也利用了类似的跨链基础设施来转移赃款。

截至发稿，莱特币基金会尚未对事件的进一步细节作出回应。整个行业都在等待更全面的报告，并思考如何加固这些脆弱的连接点。