بنیاد لایت‌کوین بعد از ظهر شنبه در پستی در X اعلام کرد که لایت‌کوین پس از سوءاستفاده مهاجمان از یک آسیب‌پذیری روز صفر (zero-day vulnerability) مرتبط با لایه حریم خصوصی MimbleWimble Extension Block (MWEB) خود، روز شنبه دچار یک سازماندهی مجدد عمیق زنجیره (یا "ریورگ") شد.

بنیاد گفت که این باگ به گره‌های ماینینگ که نرم‌افزار قدیمی‌تری را اجرا می‌کردند، اجازه داد تا یک تراکنش MWEB نامعتبر را تایید کنند، و به هر کسی که آن را ساخته بود اجازه می‌داد تا کوین‌ها را از افزونه حریم خصوصی خارج کرده و آنها را به صرافی‌های غیرمتمرکز شخص ثالث هدایت کند. استخرهای ماینینگ بزرگ نیز مورد حمله محروم‌سازی از سرویس (denial-of-service attack) مرتبط با همین نقص قرار گرفتند.

الکس شوچنکو، مدیرعامل Aurora Labs، در پستی در X این اتفاق را "حمله‌ای هماهنگ" خواند. شوچنکو گفت که فورک (انشعاب) از بلاک ۳,۰۹۵,۹۳۰ تا ۳,۰۹۵,۹۴۳ ادامه داشت و تولید آن بیش از سه ساعت طول کشید، که طی آن مهاجمان حملات خرج کردن دوباره (double-spend attacks) را علیه چندین پروتکل سواپ بین‌زنجیره‌ای (cross-chain swapping protocols) انجام دادند که خروجی‌های (peg-outs) MWEB که اکنون یتیم شده بودند را پذیرفته بودند.

یادداشت بنیاد تاکید می‌کند که تراکنش‌های مشکل‌ساز در نهایت از تاریخچه لایت‌کوین پاک شدند، در حالی که تراکنش‌های معتبر در آن دوره بدون تغییر باقی ماندند. بنیاد همچنین گفت که این آسیب‌پذیری به طور کامل وصله شده است، اگرچه برخی از مراکز معاملاتی از این حادثه ضرر و زیان گزارش کرده‌اند.

شوچنکو در X نوشت: "میزان خطر (اکسپوژر) برای NEAR Intents حدود ۶۰۰ هزار دلار است. ما به تمام مراکز معاملاتی LTC توصیه می‌کنیم که تراکنش‌ها و موجودی‌ها را حسابرسی کنند. ما تعداد زیادی تراکنش خرج کردن دوباره مشاهده می‌کنیم."

حادثه روز شنبه اولین حمله شناخته شده‌ای است که MWEB را هدف قرار داده، از زمانی که لایت‌کوین افزونه حریم خصوصی را از طریق سافت فورک در می ۲۰۲۲ فعال کرد. MWEB به کاربران اجازه می‌دهد تا LTC را از زنجیره پایه شفاف به یک زنجیره جانبی محرمانه از طریق تراکنش‌های peg-in و peg-out منتقل کنند، و این افزونه مسئول اعتبارسنجی حفظ کوین (coin conservation) بین دو لایه در هر بلاک است.

یک باگ که یک خروجی (peg-out) معتبر به نظر می‌رسد اما غیرمجاز را تولید می‌کند، به مهاجم اجازه می‌دهد تا LTC را به طور موثر به زنجیره اصلی "احضار" کند، تا زمانی که گره‌های صادق بلاک مشکل‌ساز را رد کنند. بنیاد نام استخرهای آسیب‌دیده را ذکر نکرد و میزان LTC ایجاد شده توسط تراکنش‌های نامعتبر MWEB را افشا نکرد.

طبق صفحه قیمت لایت‌کوین The Block، LTC در حدود ساعت ۴:۳۰ بعد از ظهر به وقت ET نزدیک به ۵۶.۰۰ دلار معامله شد، که حدود ۱% در آن روز کاهش داشت و هیچ واکنش فوری بازار به این افشاگری نشان نداد. این توکن در سال جاری نزدیک به ۲۵% کاهش یافته است.

این حادثه در دوره‌ای سخت برای امنیت کریپتو رخ می‌دهد. پروتکل‌های دیفای تا اواسط آوریل ۲۰۲۶ بیش از ۷۵۰ میلیون دلار به دلیل سوءاستفاده‌ها از دست داده‌اند، از جمله تخلیه ۲۹۲ میلیون دلاری پل Kelp DAO در ۱۹ آوریل و حمله ۲۸۵ میلیون دلاری به پلتفرم معاملات دائمی Drift مبتنی بر سولانا در ۱ آوریل. بیشتر این حوادث شامل زیرساخت‌های بین‌زنجیره‌ای بود، همان سطحی که مهاجمان لایت‌کوین طبق گزارش‌ها برای خارج کردن سود خود از زنجیره آسیب‌دیده قبل از ریورگ استفاده کردند.

بنیاد لایت‌کوین بلافاصله به درخواست اظهار نظر پاسخ نداد.