Litecoin suffers double-spend attack and emergency rollback, security researchers refute "zero-day vulnerability" claim
- Core Insight: On April 25, 2026, the Litecoin network suffered a coordinated attack exploiting a MWEB privacy layer vulnerability and a DoS attack on mining pools, resulting in a 13-block reorganization and double-spending, exposing systemic risks of PoW networks relying on voluntary upgrades and fragile security windows.
- Key Elements:
- The attacker exploited an MWEB consensus vulnerability to inject invalid transactions into un-updated nodes while simultaneously double-spending on cross-chain protocols. NEAR Intents reported approximately $600,000 in risk exposure.
- The attack occurred in two phases: first, a DoS attack on major mining pools was carried out to reduce the hashrate share of upgraded nodes, then an attack was launched against legacy nodes, ultimately creating a fork chain within approximately 32 minutes.
- After the DoS stopped, the network automatically underwent a 13-block reorganization (taking over 3 hours). During this period, all legitimate transactions were unaffected, but invalid transactions were removed.
- Security researchers discovered the vulnerability had been privately patched 37 days earlier, raising questions about the "zero-day attack" characterization. The official account's subsequent mockery of the community sparked strong backlash.
- According to The Block data, from 2026 to mid-April, DeFi protocols suffered over $750 million in losses from various attacks, with cross-chain infrastructure becoming the primary attack surface.
Tác giả gốc: Claude, TechFlow
Tóm tắt: Ngày 25 tháng 4, Litecoin hứng chịu một cuộc tấn công có phối hợp, khai thác lỗ hổng lớp quyền riêng tư MWEB. Kẻ tấn công đã thực hiện các giao dịch không hợp lệ thông qua các nút chưa cập nhật và tiến hành chi tiêu kép trên các giao thức cross-chain trong vòng khoảng 32 phút. NEAR Intents báo cáo mức rủi ro khoảng 600.000 đô la Mỹ. Mạng lưới đã thực hiện tổ chức lại 13 block để sửa chữa trạng thái chuỗi, nhưng các nhà nghiên cứu bảo mật phát hiện ra rằng lỗ hổng này đã được vá riêng tư từ 37 ngày trước, đặt ra nghi vấn về việc xác định đây là một "cuộc tấn công zero-day". Sau sự việc, tài khoản chính thức đã chế nhạo những người chỉ trích "hãy ở lại vùng nước nông", gây ra phản ứng dữ dội từ cộng đồng.
Mạng lưới Litecoin đã trải qua sự cố bảo mật lớn đầu tiên kể từ khi kích hoạt MWEB (MimbleWimble Extension Block, lớp giao dịch riêng tư của Litecoin) vào năm 2022. Kẻ tấn công đã lợi dụng lỗ hổng đồng thuận của lớp MWEB, kết hợp với một cuộc tấn công từ chối dịch vụ (DoS) nhắm vào các mining pool, tạo ra một chuỗi fork chứa các giao dịch không hợp lệ trong vòng khoảng 32 phút và tận dụng cửa sổ này để thực hiện các cuộc tấn công chi tiêu kép trên nhiều giao thức cross-chain.
Theo báo cáo của The Block ngày 26 tháng 4, Alex Shevchenko, CEO của Aurora Labs, là người đầu tiên đánh dấu sự bất thường này trên nền tảng X, xác định đây là một "cuộc tấn công có phối hợp", liên quan đến các block #3,095,930 đến #3,095,943 và quá trình khôi phục kéo dài hơn ba giờ.
Cuộc tấn công được thực hiện theo hai bước: Đầu tiên là làm tê liệt mining pool, sau đó khai thác các nút chưa cập nhật
Theo tuyên bố chính thức của Litecoin Foundation ngày 25 tháng 4, đường tấn công có thể được chia thành hai giai đoạn.
Bước đầu tiên là thực hiện một cuộc tấn công DoS nhắm vào các mining pool chính, làm giảm tỷ lệ hashrate của các nút đang chạy phiên bản client đã cập nhật. Bước thứ hai là khai thác lỗ hổng đồng thuận của lớp MWEB, tiêm một giao dịch MWEB không hợp lệ vào các nút vẫn đang chạy phần mềm phiên bản cũ. Các nút chưa cập nhật này đã coi giao dịch đó là hợp lệ một cách sai lầm, cho phép kẻ tấn công "peg out" (chuyển tiền từ lớp quyền riêng tư ra chuỗi chính) từ lớp quyền riêng tư MWEB và chuyển tiền đến các sàn giao dịch phi tập trung bên thứ ba.
Shevchenko đã tiết lộ thêm dấu vết trên chuỗi của kẻ tấn công: Kẻ tấn công đã lên kế hoạch đổi LTC lấy ETH, và địa chỉ được sử dụng đã nhận được tiền từ Binance 38 giờ trước khi cuộc tấn công xảy ra. Ông đánh giá rằng kẻ tấn công đã có thông tin về lỗ hổng từ trước.
Trong điều kiện bình thường, khoảng thời gian tạo block của Litecoin là khoảng 2,5 phút, vì vậy 13 block lẽ ra phải được tạo ra trong vòng khoảng 32 phút. Tuy nhiên, lần này 13 block đã mất hơn ba giờ để tạo ra, sự bất thường này ban đầu khiến một số người quan sát đánh giá nhầm đó là một cuộc tấn công 51%. Thực tế là, một khi cuộc tấn công DoS dừng lại, các nút chạy mã đã cập nhật đã giành lại lợi thế hashrate, mạng lưới tự động hoàn tất việc tổ chức lại 13 block, loại bỏ các giao dịch không hợp lệ khỏi chuỗi chính. Litecoin Foundation cho biết tất cả các giao dịch hợp pháp trong quá trình tổ chức lại đều không bị ảnh hưởng.
Các giao thức cross-chain trở thành nạn nhân thực sự, NEAR Intents báo cáo khoản rủi ro 600.000 đô la
Kẻ tấn công đã tận dụng cửa sổ fork để thực hiện các giao dịch chi tiêu kép trên nhiều giao thức hoán đổi cross-chain. Các giao thức này đã chấp nhận các giao dịch peg-out MWEB mà sau đó đã bị đảo ngược bởi quá trình tổ chức lại, dẫn đến tổn thất thực tế.
Shevchenko đã đăng trên nền tảng X rằng mức rủi ro của NEAR Intents là khoảng 600.000 đô la Mỹ và đội ngũ của ông sẽ bù đắp tổn thất cho người dùng. Ông đồng thời cảnh báo tất cả các sàn giao dịch chấp nhận LTC hãy kiểm toán hồ sơ giao dịch và số dư, vì có một số lượng lớn các giao dịch chi tiêu kép trên chuỗi.
Theo báo cáo của Bitcoin News, sau khi Litecoin xác nhận rằng các giao dịch không hợp lệ đã được loại bỏ khỏi chuỗi chính, tổn thất thanh toán thực tế của NEAR Intents có thể thấp hơn ước tính ban đầu, nhưng cho đến thời điểm viết bài, giao thức này vẫn chưa đưa ra tuyên bố tiếp theo. Các giao thức cross-chain khác đã tạm dừng các dịch vụ liên quan đến LTC cũng đang đánh giá lại mức độ rủi ro.
Litecoin Foundation không tiết lộ tên của các mining pool bị ảnh hưởng, cũng như không tiết lộ số lượng LTC mà các giao dịch MWEB không hợp lệ cố gắng tạo ra.
Vấn đề cũ của mạng PoW: Nâng cấp dựa vào tự nguyện, bảo mật dựa vào may mắn
Zooko Wilcox, người sáng lập Zcash, đã nhận xét sau sự kiện rằng các cuộc tấn công rollback kết hợp chi tiêu kép như thế này không phải là cá biệt trong các mạng PoW. Monero và Grin đều đã gặp phải những sự cố tương tự trong những năm gần đây. Vào tháng 9 năm 2025, Monero đã trải qua đợt tổ chức lại block lớn nhất trong 12 năm, với 18 block bị rollback và 117 giao dịch bị vô hiệu hóa.
Theo phân tích của CoinDesk, sự kiện này đã phơi bày một mâu thuẫn cấu trúc của các mạng PoW: Bitcoin và Litecoin không có cơ chế cập nhật bắt buộc, các nút có thể chạy phần mềm phiên bản cũ vô thời hạn. Thiết kế này có giá trị về mặt triết lý phi tập trung, nhưng nó tạo ra một cửa sổ chết chóc khi các bản vá bảo mật cần đến được tất cả mọi người trước khi kẻ tấn công khai thác lỗ hổng.
Theo phân tích của Yahoo Finance, quy mô hashrate nhỏ hơn và ngân sách bảo mật thấp hơn của Litecoin khiến nó dễ bị tấn công hơn Bitcoin. Việc rollback 13 block trên mạng Bitcoin đòi hỏi phải kiểm soát hơn 50% hashrate, với chi phí lên đến hàng tỷ đô la; nhưng trên Litecoin, một lỗ hổng kết hợp với một cuộc tấn công DoS là đủ để tạo ra một đợt tổ chức lại có độ sâu tương tự.
PR của đội ngũ chính thức thất bại: Chế nhạo những người chỉ trích "hãy ở lại vùng nước nông", Solana phản công
Cách xử lý hậu sự kiện có thể còn gây tổn hại đến lòng tin hơn là bản thân cuộc tấn công.
Ngày 26 tháng 4, tài khoản X chính thức của Litecoin đã đăng: "Rõ ràng là một số người trong các bạn không biết gì về PoW, hashrate, thời gian hoạt động, tổ chức lại và mối quan hệ giữa thợ đào và chuỗi. Hãy ở lại vùng nước nông, nơi đó an toàn hơn cho các bạn."
Theo báo cáo của Bitcoin News, bài đăng này đã thu hút hàng trăm phản hồi thù địch. Người dùng chỉ trích nó là "kiêu ngạo", "ấu trĩ", "không chuyên nghiệp". Một người viết "Tôi đã nắm giữ token của các bạn trong nhiều năm, và đây là thứ các bạn đăng?" Cộng đồng mong đợi sự minh bạch về mặt kỹ thuật và phân tích hậu sự kiện, chứ không phải là sự chế nhạo.
Tài khoản chính thức của Solana cũng đã tham gia vào cuộc tương tác này. Trong cuộc thảo luận về việc tổ chức lại vào ngày 25 tháng 4, @solana đã trả lời: "Cuối tuần thế nào rồi, nhóc con?" Cộng đồng giải thích đây là một đòn đáp trả trực tiếp việc Litecoin trước đây nhiều lần chế giễu lịch sử ngừng hoạt động của Solana.
LTC được giao dịch ở mức khoảng 56 đô la Mỹ sau khi sự việc được tiết lộ, giảm khoảng 1% trong ngày và giảm khoảng 25% kể từ đầu năm. Phản ứng tức thời của thị trường đối với sự kiện này tương đối yếu ớt.
Bế tắc bảo mật DeFi năm 2026: Cơ sở hạ tầng cross-chain trở thành bề mặt tấn công lớn nhất
Theo dữ liệu của The Block, tính đến giữa tháng 4 năm 2026, các giao thức DeFi đã mất hơn 750 triệu đô la Mỹ do các cuộc tấn công khác nhau. Bao gồm vụ tấn công cầu nối Kelp DAO vào ngày 19 tháng 4 (292 triệu đô la) và vụ tấn công nền tảng hợp đồng tương lai vĩnh viễn Drift của Solana vào ngày 1 tháng 4 (285 triệu đô la). Hầu hết các sự kiện lớn đều liên quan đến cơ sở hạ tầng cross-chain, tương tự như thủ đoạn của kẻ tấn công Litecoin lần này khi tận dụng các giao thức hoán đổi cross-chain để rút tiền.
Sự kiện Litecoin một lần nữa cho thấy vấn đề về số lượng xác nhận mà các giao thức cross-chain phải đối mặt khi chấp nhận tài sản từ chuỗi PoW còn nghiêm trọng hơn dự kiến. Khi một client có lỗ hổng được phát hành có thể kích hoạt một đợt tổ chức lại 13 block, liệu 6 xác nhận có đủ an toàn hay không không còn là một câu hỏi lý thuyết nữa.
