币圈界报道：

莱特币隐私协议暴发严重验证漏洞，触发大规模资金异常

莱特币开发团队近日披露，在其隐私扩展模块MimbleWimble扩展区块（MWEB）实现中发现一处关键验证缺失。该缺陷允许攻击者构造虚假支出证明，从而在链上生成远超实际拥有的资产转移记录。2026年3月曾出现一笔被虚增至85034.47285734 LTC的异常交易，暴露了系统性风险。

核心验证机制失效导致资产伪造路径开启

事故根源在于区块连接流程中未强制执行MWEB输入的元数据一致性校验。正常情况下，每笔支出需附带与实际消费输出完全匹配的余额与权限信息，而此环节在链上合并阶段被遗漏。攻击者借此在价值不足1.21 LTC的小额输入上附加伪造承诺，构造出高达85034.47285734 LTC的非法转出，并通过透明地址拆分为三部分。

此类攻击依赖于对节点广播路径的绕过，可能由自挖区块或矿工协作完成。一旦攻击者控制特定节点，即可将恶意数据注入主链。

紧急响应与链上隔离措施启动

漏洞确认后，开发者大卫·伯克特于4月28日发布分析报告，随即联合主要矿池展开非公开应对。核心客户端0.21.5及0.21.5.1版本以“矿工专用”形式紧急发布，其中0.21.5.1引入历史例外处理机制，冻结攻击者控制的三个输出，防止进一步消耗。

在后续处置中，攻击者经沟通后签署恢复交易，将除850 LTC赏金外的资金返还至回收地址。总计84184.47278630 LTC被重新归入MWEB体系并冻结，以维护内部供应平衡；剩余850 LTC则作为激励支付给攻击者，其缺口由查理出资填补。

二次事件暴露链下兼容性危机，引发生态震荡

4月25日，另一行为者尝试复用相同漏洞路径，但因节点已更新而失败。此次事件暴露出独立的“区块变异”问题：同一哈希可对应不同序列化数据，导致更新节点在接收时判定为‘BLOCK_MUTATED’，并保留错误数据，干扰后续同步与挖矿接口。

部分未升级节点因此延伸出13个无效区块，直至高度3,095,943。有效链在协作下完成重组，移除了无效分支，但未回滚真实历史。然而，外部系统受损明显——NEAR Intents因11000 LTC从有效链消失遭受重大损失；THORChain亦发生一笔10 LTC兑换0.00719957 BTC的交易因链变动失效。

当前0.21.5.4版本已彻底清除变异区块残留数据，确保同一哈希可再次接受合法内容。开发团队重申，所有矿工、交易所及服务方须立即升级至0.21.5.4或更高版本，并核查同步状态，以防未来风险。