关键要点:
- f2pool 挖出了有效莱特币链上的全部 13 个区块,解决了 4 月 25 日的网络分叉问题。
- 一个 MWEB 漏洞让攻击者伪造了 85,034 LTC 的挂钩退出,触发了 13 个区块的重组。
- Litecoin Core v0.21.5.4 现已修补此次攻击背后的通胀漏洞及挖矿节点停滞问题。
漏洞事件经过
4 月 25 日,莱特币网络开始在其 MWEB 层处理无效交易。MWEB 是一个隐私扩展功能,允许用户隐藏交易金额和地址。代码中的一个零日漏洞使攻击者得以制造一笔欺诈性的挂钩退出,即将莱特币从 MWEB 层转回主链的机制。
该恶意交易伪造了 85,034 LTC 的提款,造成通胀漏洞。随后,未更新的节点接受了该无效交易,攻击者趁开发者介入之前,利用该交易将资金转移至第三方去中心化交易所。
正如预期,此次事件导致数个主要矿池停滞,并产生了临时链分叉,两个相互竞争的区块链版本同时运行。事件发生后,Bitcoin.com 提供了全面的事后报道,指出开发者迅速行动冻结资金并协调恢复应对方案。
F2pool 介入
在大约两小时 45 分钟内,各矿池协调一致,通过重组来强制执行有效链——这是一个以更长的有效链替换含有无效区块的链的过程。来自 ltc.supply 的链上数据证实,F2pool 挖出了获胜链上的全部 13 个区块,提供了使有效版本成为最终记录所需的连续工作量证明。
通过迅速集结网络中绝大多数的哈希算力,该矿池在不可逆的交易所确认完成之前,有效地孤立了攻击者的区块。
分析人士将此次行动描述为一场"13 个区块的追逐",帮助莱特币网络弥合了分叉并恢复正常运行。
莱特币团队确认,整个事件期间所有合法交易均保持完好。Litecoin Core v0.21.5.4 已随后发布,修复了促成欺诈性挂钩退出的通胀漏洞以及导致此次事件的挖矿节点停滞问题。网络目前运行正常。
来源:https://news.bitcoin.com/f2pool-litecoin-mweb-chain-split-resolved/
