币圈界报道：

莱特币MWEB隐私模块接连触发严重安全危机

根据开发者戴维·伯克特发布的深度故障分析，莱特币的MimbleWimble扩展区块（MWEB）隐私层在2026年3月与4月间接连暴发两起高危安全事件，其根本原因在于区块连接阶段对MWEB输入项的校验逻辑存在可被绕过的结构性缺陷。

攻击者借畸变数据伪造链外资金提取

该漏洞允许矿工在构建区块时注入失真的元信息，使系统误判为从隐私池中提取了远超实际额度的资金。攻击者利用此机制构造虚假交易，将小额输入伪装成大规模链外转账，从而实现非法资金转移。

首次入侵暴露系统脆弱性

区块链追踪数据显示，该漏洞最早于区块高度3,073,882被激活。攻击者成功超额提取超过8.5万枚莱特币，资金迅速转入公开地址并拆分为三笔独立输出。矿工社区紧急启动共识协议，冻结相关资产以防止进一步扩散。

开发团队随即联合主流矿池展开秘密修复行动，在保障网络连续性的前提下推出多轮紧急补丁。经协商，攻击方同意签署返还协议，仅保留850枚作为谈判酬金，其余资金全部归还至原系统。

莱特币创始人查理·李个人出资填补资金缺口，所有追回资产已重新注入MWEB体系。相关输出被永久锁定，以恢复系统内部平衡。虽未造成用户直接损失，但整个应对过程高度依赖矿工协作与受控更新部署。

4月再度出现类似攻击尝试，揭示更深层隐患：尽管新版节点能正确识别异常区块，但对畸变的MWEB数据处理不当，导致部分升级节点陷入停滞，阻碍区块提交流程。

未升级矿工持续生成无效链段，最终形成长达13个区块的无效分支。当升级节点重启主链时，触发大规模链重组。虽然无效区块被清除，但已有第三方系统基于无效链完成交易，致使跨链兑换服务出现不可逆错误。

相关交易所的资产损失仍在统计评估中，影响范围尚未完全明朗。

核心客户端全面加固防御体系

第四次事件的根本症结在于同一哈希值对应多个畸变的MWEB数据结构，可能干扰后续合法区块的处理逻辑。该问题已在莱特币核心客户端0.21.5.4版本中得到解决，新版本将自动丢弃损坏的数据块，确保验证流程不受干扰。

开发团队同步推进多项强化措施：优化MWEB账本核算逻辑、提升各环节验证精度，并建立主动防护机制，防范未来可能出现的服务中断或分叉风险。