TL;DR

  • En kritisk feil i Litecoins Mimblewimble Extension Block (MWEB) ble utnyttet i mars 2026 til å generere 85 034 LTC uten dekning
  • Litecoin-utviklere koordinerte med gruvebassenget for å fryse midlene; angriperen samarbeidet og returnerte dem mot 850 LTC i dusør
  • I april forsøkte en ny aktør det samme, noe som utløste en 13-blokkers kjedeomorganisering og anslagsvis 600 000 dollar i tap for tredjepartstjenester
  • Litecoin Core 0.21.5.4 er utgitt og skal lukke sårbarheten fullstendig

Feil i personvernlaget åpnet for inflasjon av LTC-beholdning

I mars 2026 utnyttet en ukjent aktør en alvorlig valideringsfeil i Litecoins MWEB-lag – den Mimblewimble-baserte personvernutvidelsen som ble aktivert på nettverket i 2022. Feilen lå i måten MWEB validerte innganger under blokktilkobling, og gjorde det mulig for en gruvearbeider å inkludere feilformatert metadata som ikke samsvarte med den faktiske ubrukte transaksjonsutgangen som ble referert til.

Resultatet var at angriperen ved blokkhøyde 3 073 882 klarte å produsere en oppblåst «pegout» – en utbetaling fra MWEB-systemet til en transparent adresse – på hele 85 034,47285734 LTC, ifølge en postmortem publisert av Litecoin-utvikler David Burkett og gjengitt av Bitcoinist.

85 034 LTC ble skapt fra ingenting – uten dekning i nettverkets faktiske beholdning.
Kritisk Litecoin-feil lot angriper skape 85 000 LTC ut av løse luften

Koordinert respons stoppet blødningen

Litecoin-utviklerne reagerte raskt. I samarbeid med større gruvebassenger ble midlene frosset, og angriperen ble kontaktet direkte. Ifølge den tilgjengelige informasjonen valgte angriperen å samarbeide og returnerte mesteparten av beløpet mot en dusør på 850 LTC. Litecoins grunnlegger Charlie Lee skal personlig ha dekket dusøren for å gjenopprette MWEB-regnskapet. Ingen bekreftede brukertap ble registrert som følge av mars-hendelsen.

Kritisk Litecoin-feil lot angriper skape 85 000 LTC ut av løse luften

April-hendelsen: Reorganisering og milliontap for tredjeparter

Tross utbedringsforsøk etter mars-hendelsen slo en ny aktør til i april 2026 med det samme angrepsmønsteret. Oppdaterte noder avviste den ugyldige blokken, men håndteringen av den muterte MWEB-dataen forårsaket at en rekke oppgraderte gruvenoder stoppet opp eller sluttet å fungere. Det banet veien for at ikke-oppdaterte gruvearbeidere bygde videre på en ugyldig kjede.

Den ugyldige kjeden vokste til 13 blokker – omtrent 32 minutters kjedehistorikk – før de oppgraderte nettverksdeltakerne klarte å koordinere en dyp reorganisering og gjenopprette den gyldige kjeden, ifølge tilgjengelig dokumentasjon.

Konsekvensene for tredjepartstjenester var merkbare. NEAR Intents skal ifølge Bitcoinist og tilhørende research ha lidd tap på anslagsvis 600 000 dollar som følge av dobbeltbrukoperasjoner under gaffelen. Aurora Labs-sjef Alex Shevchenko karakteriserte det som et «koordinert angrep». NEAR Intents har lovet full kompensasjon til berørte brukere. Infrastruktur knyttet til THORChain og SwapKit ble også rammet.

Det er viktig å understreke at disse tapstallene er basert på informasjon fra berørte parter og foreløpig ikke er uavhengig bekreftet i sin helhet.

85 034 LTC
Ulovlig generert i mars-angrepet
13 blokker
Lengde på ugyldig kjede i april
~$600 000
Anslåtte tap for NEAR Intents

Kjent sårbarhet – men ikke lappet

Sikkerhetsfirmaet Quarkslab gjennomførte en 45-dagers revisjon av Litecoins MWEB-implementasjon allerede i 2021–2022. Rapporten identifiserte en kritisk feil klassifisert som HIGH01: MWEB-blokker ble ikke validert på korrekt vis, noe som potensielt kunne la en useriøs gruvearbeider sende inn ugyldige blokker som ble akseptert av nettverket. Det ble anbefalt å legge til et kall til MWEB::CheckBlock-funksjonen fra den kanoniske siden.

Det er uklart i hvilken grad dette funnet ble fulgt opp, og om den aktuelle sårbarheten fra 2026 er direkte relatert til HIGH01-funnet. Litecoin-prosjektet har foreløpig ikke kommentert dette koblingsspørsmålet offentlig.

Patch er ute – men advarslene er mange

Litecoin Core 0.21.5.4 ble utgitt for å adressere begge hendelsene. Oppdateringen skal sørge for at korrupt blokkdata forkastes og at MWEB-regnskapet og validering styrkes i alle ledd. Litecoin Foundation forsikrer om at alle legitime transaksjoner utført i den berørte perioden er bevart på primærkjeden, og at sikkerhetssårbarheten er fullstendig utbedret.

Likevel peker hendelsene på strukturelle utfordringer. Flere analytikere har fremhevet Litecoins relativt lave hash rate som en vedvarende risikofaktor som gjør nettverket mer sårbart for 51 prosent-angrep. Aurora Labs-sjefen anbefaler at alle plattformer som behandler Litecoin-transaksjoner gjennomfører grundige revisjoner av egne registre og beholdninger. Det er også fremmet forslag om å utvide bekreftelsesperioder for kryssblokk-tjenester til over 50 blokker, eller å midlertidig suspendere LTC-kryssblokk-operasjoner inntil nettverket har demonstrert tilstrekkelig stabilitet.