莱特币首次出现隐私层遭入侵：MWEB 零日漏洞触发 13 区块链重组

根據 The Block 報導，萊特幣基金會 4/25 週六證實，攻擊者鎖定 MimbleWimble Extension Block（MWEB）隱私層的零日漏洞，迫使主鏈進行一次 13 區塊、橫跨三小時的回滾，這是 MWEB 自 2022 年啟用以來首次重大攻擊事件。

MWEB 漏洞讓舊版節點放行偽造 peg-out 交易

漏洞核心在於：執行舊版軟體的礦工節點，會把一筆無效的 MWEB 交易視為合法。攻擊者藉此把 LTC 從隱私層 peg out 到主鏈，再丟進去中心化交易所換成其他資產，等同於憑空印幣。同時間，幾家主要礦池也被牽連，遭受針對性的 DoS 攻擊。

MWEB 是萊特幣在 2022 年 5 月透過軟分叉啟動的隱私擴展層，目標是讓 LTC 具備類似 Monero 的金額遮蔽。三年多來功能穩定運作，這是它第一次被有效利用攻擊主網。

13 區塊回滾、分叉持續逾 3 小時

受影響的分叉從區塊 3,095,930 延伸到 3,095,943，共 13 個區塊。這段三小時的空檔給了攻擊者足夠時間，對接受 MWEB peg-out 的跨鏈交換協議發動雙花：當交換協議把資產撥給對方、卻在隨後的回滾中失去對應的 MWEB 結算，被孤立的交易就形同無效。

NEAR Intents 暴露約 60 萬美元，礦池同遭 DoS

受影響的協議中，NEAR Intents 是公開揭露金額最高的一方，初步通報暴露約 60 萬美元，並表示團隊會自行吸收用戶損失。萊特幣後續確認所有無效交易已隨回滾從主鏈抹除，因此實際結算損失應遠低於初估金額。

礦池端則被同一漏洞觸發 DoS 條件，被迫暫停或中斷出塊，這也是攻擊者能在三小時內持續分叉的關鍵——少了主流算力即時封鎖無效鏈，攻擊鏈才有時間累積區塊。

修補版已釋出，礦池與節點需立即升級

萊特幣開發團隊在事件發生後數小時內釋出修補版本，要求所有節點與礦池操作者立即升級到最新版。基金會聲明網路目前已恢復正常運作，建議交易所在升級完成前暫緩處理 MWEB 相關的提幣與兌換。

對 LTC 持有者而言，這次事件不影響主鏈合法交易與既有餘額，但凸顯了隱私擴展層在「降低觀測性」與「降低偵錯難度」之間的取捨——當問題出現，社群更難在第一時間從鏈上資料追蹤異常。萊特幣在 2025 年 10 月才在美國掛牌質押型 ETF，機構投資人對網路穩定性的關注度勢必上升。

這篇文章「萊特幣首見隱私層遭駭：MWEB 零日漏洞觸發 13 區塊鏈重組」最早出現於 鏈新聞 ABMedia。