币圈界报道：

莱特币MWEB协议现严重验证缺陷，引发链上异常与重组

莱特币开发团队正式披露，其Mimblewimble扩展区块（MWEB）功能中存在关键验证漏洞。该问题曾被恶意利用，生成高达85,034.47285734 LTC的虚假输出，后经紧急干预完成资金回收，系统账本一致性得以恢复。

首次攻击事件：跨链验证缺失触发巨额伪造

据开发者戴维·伯克特发布的分析报告，漏洞根源在于区块连接阶段未强制校验MWEB输入与实际未花费交易输出（UTXO）元数据的一致性。尽管内存池和区块构建流程中已实施检查，但在链上合并环节却出现执行断层。

攻击者利用此间隙，仅以约1.2084693 LTC的输入，构造出等值85,034.47285734 LTC的非法提取交易。该事件发生于区块高度3,073,882，资金初始转入透明地址，随后拆分为三笔输出。由于需绕过常规传播机制，攻击者须自行挖出含缺陷数据的区块或诱导矿工参与。

团队在发现后迅速联动主要矿池，启动应急响应。核心客户端0.21.5及0.21.5.1版本被紧急发布，对已接受的攻击区块进行例外处理，并冻结攻击者控制的三个透明输出，防止其被二次使用。

后续攻击者试图动用被冻结资产时，升级节点拒绝了交易请求。经沟通，对方同意以850 LTC为代价归还全部资金。最终，总计84,184.47278630 LTC被返还至MWEB系统，实现内部供应平衡，原定报酬则保留在攻击者账户。

团队确认，此次事件未造成任何用户资金损失。但应对过程涉及多轮协调、分阶段补丁部署及历史数据特殊处理，显著增加了网络运维压力。

四月再度尝试：数据体篡改引连锁失效与链重组

4月25日，区块高度3,095,931，另一名攻击者再次尝试利用相同路径，但已升级节点拒绝接收错误数据。问题暴露于另一独立缺陷：允许在不改变区块哈希的前提下修改MWEB数据体。

报告指出，当升级节点接收到被篡改的区块时，因无法正确解析MWEB内容而将其标记为“数据突变”，进而拒绝后续具有相同哈希的合法数据，导致部分节点陷入同步停滞。未更新的矿工则继续延长无效链。

最终，无效链延伸至高度3,095,943，共13个区块被错误生成，正常链通过更高算力反超完成纠正。官方强调，本次重组并非对有效链的回滚，而是对由验证规则缺失导致的无效分支的清除。

此次事件波及外部生态。基于NEAR协议的内容平台在将11,000 LTC兑换为7.78814476 BTC过程中，因资产从有效链消失遭受重大损失。THORChain亦受影响，攻击者将10 LTC兑换为0.00719957 BTC后，相关莱特币侧交易被判定无效。

修复方案落地，全网协同升级迫在眉睫

核心客户端0.21.5.4版本已于4月25日上线，修复了数据体篡改漏洞，可清除“数据突变”状态并恢复对同一哈希下正常数据的接受能力。开发团队敦促所有用户、矿工、交易所及服务商立即升级至0.21.5.4或更高版本，并验证节点同步状态。

本事件揭示了验证逻辑链路中的潜在断裂点可能引发系统级风险，其影响程度甚至超过协议设计本身的局限。同时，节点升级速度与一致性成为维护市场信任的核心要素。