Litecoin mengalami reorganisasi rantai (atau "reorg") yang mendalam pada hari Sabtu setelah penyerang mengeksploitasi kerentanan zero-day yang terkait dengan lapisan privasi MimbleWimble Extension Block (MWEB) miliknya, kata Litecoin Foundation dalam sebuah postingan X pada Sabtu sore.

Bug tersebut memungkinkan node penambangan yang menjalankan perangkat lunak lama untuk memvalidasi transaksi MWEB yang tidak valid, membiarkan siapa pun yang membuatnya mengeluarkan koin dari ekstensi privasi dan mengarahkannya ke bursa terdesentralisasi pihak ketiga, kata Foundation. Pool penambangan besar juga terkena serangan denial-of-service yang terkait dengan celah yang sama.

CEO Aurora Labs Alex Shevchenko menyebutnya "serangan terkoordinasi" dalam sebuah postingan di X. Shevchenko mengatakan fork tersebut berlangsung dari blok 3.095.930 hingga 3.095.943 dan membutuhkan waktu lebih dari tiga jam untuk diproduksi, di mana para penyerang melakukan serangan double-spend terhadap beberapa protokol pertukaran lintas rantai yang telah menerima peg-out MWEB yang kini yatim piatu.

Catatan Foundation menekankan bahwa transaksi yang bermasalah pada akhirnya dihapus dari riwayat Litecoin, sementara transaksi yang valid selama periode tersebut tetap tidak terpengaruh. Foundation juga mengatakan bahwa kerentanan telah sepenuhnya ditambal, meskipun beberapa tempat perdagangan telah melaporkan kerugian dari insiden tersebut. 

"Potensi kerugian untuk NEAR Intents sekitar $600 ribu," tulis Shevchenko di X. "Kami merekomendasikan semua tempat perdagangan untuk LTC untuk mengaudit transaksi dan kepemilikan. Kami melihat banyak transaksi double spend."

Insiden hari Sabtu adalah serangan pertama yang diketahui menargetkan MWEB sejak Litecoin mengaktifkan ekstensi privasi melalui soft fork pada Mei 2022. MWEB memungkinkan pengguna memindahkan LTC dari rantai dasar yang transparan ke side-chain rahasia melalui transaksi peg-in dan peg-out, dengan ekstensi yang bertanggung jawab untuk memvalidasi konservasi koin antara kedua lapisan setiap blok.

Bug yang menghasilkan peg-out yang tampak valid tetapi tidak sah memungkinkan penyerang secara efektif menciptakan LTC di rantai utama sampai node jujur menolak blok yang bermasalah. Foundation tidak menyebutkan pool yang terpengaruh dan tidak mengungkapkan berapa banyak LTC yang diciptakan oleh transaksi MWEB yang tidak valid.

LTC diperdagangkan mendekati $56,00 sekitar pukul 16:30 ET, turun sekitar 1% pada hari itu dan tidak menunjukkan reaksi pasar langsung terhadap pengungkapan tersebut, menurut halaman Harga Litecoin The Block. Token tersebut turun hampir 25% sepanjang tahun ini.

Insiden ini terjadi selama periode yang sulit bagi keamanan kripto. Protokol DeFi telah kehilangan lebih dari $750 juta karena eksploitasi pada tahun 2026 hingga pertengahan April, termasuk pengurasan jembatan Kelp DAO senilai $292 juta pada 19 April dan serangan $285 juta pada platform perpetual berbasis Solana Drift pada 1 April. Sebagian besar insiden tersebut melibatkan infrastruktur lintas rantai, permukaan yang sama yang dilaporkan digunakan penyerang Litecoin untuk menarik keuntungan mereka dari rantai yang terpengaruh sebelum reorg.

Litecoin Foundation tidak segera menanggapi permintaan komentar.