Selon un rapport de The Block, la Fondation Litecoin a confirmé le samedi 25/4 qu’un attaquant exploitait une vulnérabilité zero-day dans la couche de confidentialité du MimbleWimble Extension Block (MWEB), forçant la chaîne principale à effectuer un repli en arrière (rollback) de 13 blocs, sur une durée de trois heures, ce qui constitue le premier événement d’attaque majeur contre le MWEB depuis son activation en 2022.
La faille MWEB permet aux nœuds de versions anciennes d’accepter des transactions peg-out falsifiées
Le cœur du problème est le suivant : les nœuds de mineurs exécutant un logiciel plus ancien considéreraient une transaction MWEB invalide comme légitime. L’attaquant en profite pour faire “peg out” des LTC depuis la couche de confidentialité vers la chaîne principale, puis pour les déposer dans une bourse décentralisée afin de les échanger contre d’autres actifs, ce qui revient à créer des monnaies “ex nihilo”. Dans le même temps, plusieurs grands pools de minage sont également impliqués, en subissant des attaques DoS ciblées.
Le MWEB est une couche d’extension de confidentialité que Litecoin a lancée en mai 2022 via un soft fork, visant à doter les LTC d’un masquage des montants similaire à celui de Monero. Pendant plus de trois ans, la fonctionnalité a fonctionné de manière stable ; c’est la première fois qu’elle est exploitée efficacement pour attaquer le réseau principal.
Rollback de 13 blocs, fork maintenu plus de 3 heures
Le fork concerné s’étend du bloc 3,095,930 au bloc 3,095,943, soit 13 blocs au total. Cette fenêtre de trois heures a donné à l’attaquant suffisamment de temps pour lancer une attaque par double dépense (double-spend) contre des protocoles d’échange inter-chaînes acceptant les peg-out MWEB : lorsque le protocole d’échange transfère les actifs à l’autre partie, mais que ceux-ci perdent leur règlement MWEB correspondant lors du rollback suivant, les transactions isolées reviennent alors à être invalides.
NEAR Intents révèle environ 600 000 dollars ; les pools aussi subissent un DoS
Parmi les protocoles touchés, NEAR Intents est celui qui expose le montant le plus élevé publiquement : selon les premières notifications, environ 600 000 dollars auraient été exposés, et l’équipe indique qu’elle absorberait elle-même les pertes des utilisateurs. Litecoin confirme ensuite que toutes les transactions invalides ont été effacées de la chaîne principale avec le rollback ; par conséquent, la perte de règlement réelle devrait être bien inférieure au montant initialement estimé.
Côté pools de minage, les mêmes conditions de la faille déclenchent un DoS, forçant l’arrêt ou l’interruption de l’extraction de blocs ; c’est aussi la clé pour que l’attaquant puisse maintenir le fork pendant trois heures : sans blocage immédiat par la puissance de calcul (hashrate) dominante, la chaîne d’attaque a le temps d’accumuler des blocs.
Une version corrective a été publiée ; les pools et les nœuds doivent mettre à niveau immédiatement
L’équipe de développement de Litecoin a publié une version correctrice dans les quelques heures suivant l’incident, demandant à tous les nœuds et aux opérateurs de pools de minage de passer immédiatement à la dernière version. La Fondation déclare que le réseau fonctionne à nouveau normalement à l’heure actuelle, et recommande aux bourses de suspendre temporairement le traitement des retraits (withdrawals) et des échanges liés au MWEB jusqu’à la fin des mises à niveau.
Pour les détenteurs de LTC, cet incident n’affecte pas les transactions légitimes de la chaîne principale ni les soldes existants, mais met en évidence le compromis entre “réduction de l’observabilité” et “réduction de la difficulté de débogage” dans la couche d’extension de confidentialité : lorsque le problème survient, la communauté a plus de mal à suivre les anomalies à partir des données de la chaîne dès les premières minutes. Litecoin n’a inscrit des ETF de type “staking” aux États-Unis qu’en octobre 2025, et l’attention des investisseurs institutionnels à la stabilité du réseau va forcément augmenter.
Cet article La première intrusion contre la couche de confidentialité de Litecoin : une faille zero-day du MWEB déclenche une réorganisation de 13 blocs apparaît pour la première fois sur Chaîne News ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le portefeuille Bitcoin du cofondateur d’ASOS vidé de ~$4M après son décès en Thaïlande
Message de Gate News, 29 avril — À la suite du décès du cofondateur d’ASOS, Quentin Griffiths, tombé d’un bâtiment en Thaïlande, environ $4 million de bitcoins ont été transférés hors de son portefeuille sur plusieurs jours, dans trois transactions distinctes, vers des adresses inconnues.
Le fils aîné de Griffiths, Joel,
GateNewsIl y a 3m
Le coffre YieldCore-3rd-deal du Trading Protocol exploité pour 398 000 $
Message de Gate News, 29 avril — Le coffre YieldCore-3rd-deal du Trading Protocol a été exploité lors d’une attaque ayant entraîné la perte d’environ 398 000 $, selon l’analyste on-chain PeckShield. L’attaque a exploité une vulnérabilité liée à l’absence de vérification des autorisations du demandeur dans le contrat intelligent du coffre,
GateNewsIl y a 19m
Un citoyen français condamné à 8 ans de prison pour blanchiment d’argent de plus de $470 millions via des sociétés écrans et des comptes crypto
Message de Gate News, 29 avril — Un citoyen franco-argentin, Maximilien de Hoop Cartier, a été condamné à huit ans de prison pour avoir opéré une bourse de cryptomonnaies non autorisée et blanchi plus de $470 millions via des sociétés écrans et des comptes crypto, selon le Département de la justice des États-Unis.
GateNewsIl y a 25m
Des utilisateurs de Robinhood visés par une campagne de phishing exploitant la fonctionnalité « dot alias » de Gmail
Message de Gate News, 28 avril — Des utilisateurs de Robinhood ont été ciblés par une campagne de phishing qui a exploité la fonctionnalité « dot alias » de Gmail, ainsi que des faiblesses du processus de création de compte de la plateforme. Les attaquants ont enregistré de faux comptes Robinhood avec des adresses e-mail légèrement modifiées, en tirant parti du comportement de Gmail consistant à ignorer les points dans les noms d'utilisateur afin d'acheminer les e-mails générés par le système vers la boîte de réception des utilisateurs légitimes.
GateNewsIl y a 5h
Le logiciel malveillant GlassWorm déploie 73 extensions en veille dans OpenVSX pour voler des portefeuilles crypto
Message de Gate News, 28 avril — Des chercheurs en sécurité ont identifié 73 extensions malveillantes implantées par le logiciel malveillant GlassWorm dans le registre d'OpenVSX, dont six ont déjà été activées pour voler les portefeuilles de cryptomonnaies et les identifiants des développeurs. Les extensions ont été téléversées sous forme de copies factices d'annonces légitimes, avec des codes malveillants injectés via des mises à jour ultérieures, w
GateNewsIl y a 7h
Les piratages crypto ont volé 17,1 milliards de dollars sur la décennie écoulée, sur 518 incidents
Message des actualités Gate News, 28 avril — Les pertes cumulées liées aux piratages de crypto sur la décennie écoulée ont atteint 17,1 milliards de dollars sur 518 incidents, d’après les données de ChainCatcher.
Les cinq dernières années ont représenté 15,2 milliards de dollars de pertes pour plus de 450 incidents, tandis que l’année passée a vu environ 2,5 milliards de dollars dérobés sur plus de 140 incidents. Cela indique une accélération de la fréquence des attaques par rapport à la décennie précédente.
Des analyses récentes montrent que les attaques crypto ont évolué, passant de l’exploitation de vulnérabilités de contrats intelligents à des attaques visant le vol de clés privées et les brèches de contrôle d’accès, ce qui représente un changement notable dans la méthode des attaquants.
GateNewsIl y a 15h
