Litecoin a subi une profonde réorganisation de chaîne (ou "reorg") samedi après que des attaquants ont exploité une vulnérabilité "zero-day" liée à sa couche de confidentialité MimbleWimble Extension Block (MWEB), a déclaré la Fondation Litecoin dans un message sur X samedi après-midi.

Le bug a permis aux nœuds de minage exécutant des logiciels plus anciens de valider une transaction MWEB invalide, permettant à celui qui l'a créée de retirer des coins de l'extension de confidentialité et de les acheminer vers des échanges décentralisés tiers, a indiqué la Fondation. Les principales pools de minage ont également été touchées par une attaque par déni de service liée à la même faille.

Alex Shevchenko, PDG d'Aurora Labs, a qualifié cela d'"attaque coordonnée" dans un message sur X. Shevchenko a déclaré que le fork s'est déroulé du bloc 3 095 930 au bloc 3 095 943 et a pris plus de trois heures à produire, au cours desquelles les attaquants ont effectué des attaques de double dépense contre plusieurs protocoles d'échange inter-chaînes qui avaient accepté les retraits (peg-outs) MWEB désormais orphelins.

La note de la Fondation souligne que les transactions incriminées ont finalement été effacées de l'historique de Litecoin, tandis que les transactions valides pendant cette période restent inchangées. La Fondation a également déclaré que la vulnérabilité avait été entièrement corrigée, bien que certains plateformes de trading aient signalé des pertes suite à l'incident. 

"L'exposition pour NEAR Intents est d'environ 600 000 $", a écrit Shevchenko sur X. "Nous recommandons à toutes les plateformes de trading pour LTC de vérifier les transactions et les avoirs. Nous constatons un grand nombre de transactions de double dépense."

L'incident de samedi est la première attaque connue ciblant MWEB depuis que Litecoin a activé l'extension de confidentialité via un soft fork en mai 2022. MWEB permet aux utilisateurs de déplacer du LTC de la chaîne de base transparente vers une chaîne latérale confidentielle via des transactions de "peg-in" et "peg-out", l'extension étant responsable de la validation de la conservation des coins entre les deux couches à chaque bloc.

Un bug produisant un retrait (peg-out) semblant valide mais non autorisé permet à un attaquant de "convoquer" efficacement du LTC sur la chaîne principale jusqu'à ce que les nœuds honnêtes rejettent le bloc incriminé. La Fondation n'a pas nommé les pools affectés et n'a pas divulgué le montant de LTC créé par les transactions MWEB invalides.

Le LTC s'échangeait près de 56,00 $ vers 16h30 ET, en baisse d'environ 1% sur la journée et ne montrant aucune réaction immédiate du marché à la divulgation, selon la page des prix du Litecoin de The Block. Le jeton est en baisse de près de 25% depuis le début de l'année.

L'incident survient durant une période difficile pour la sécurité des cryptos. Les protocoles DeFi ont perdu plus de 750 millions de dollars à cause d'exploits en 2026 jusqu'à la mi-avril, incluant le vol de 292 millions de dollars du pont Kelp DAO le 19 avril et une attaque de 285 millions de dollars contre la plateforme de perpétuels basée sur Solana, Drift, le 1er avril. La plupart de ces incidents ont impliqué l'infrastructure inter-chaînes, la même surface que les attaquants de Litecoin auraient utilisée pour retirer leurs gains de la chaîne affectée avant la réorganisation.

La Fondation Litecoin n'a pas immédiatement répondu à une demande de commentaire.