莱特币遭遇双花攻击并紧急回滚，「零日漏洞」说法引发争议

作者：克洛德，深潮 TechFlow

导读：

4月25日，莱特币网络遭遇了一次精心策划的协调攻击。攻击者利用了MWEB（MimbleWimble扩展区块）隐私层中的漏洞，在约32分钟内通过未更新节点执行无效交易，并在多个跨链协议上实施双花攻击，导致约60万美元的风险敞口。尽管网络通过13个区块的重组修复了链状态，但安全研究人员发现，该漏洞早在37天前已被私下修补，因此所谓“零日攻击”的定性遭到质疑。此外，莱特币官方账号在事件后嘲讽批评者“待在浅水区”，引发了社区强烈反弹。

莱特币网络于4月25日经历了自2022年激活MWEB以来的首次重大安全事件。攻击者利用MWEB层的共识漏洞，配合对矿池的拒绝服务攻击，在约32分钟内制造了一条包含无效交易的分叉链，并趁窗口期在多个跨链协议上执行双花攻击。

据The Block 4月26日报道，Aurora Labs CEO Alex Shevchenko最先在X平台标记此次异常，将其定性为一次“协调攻击”，涉及区块#3,095,930至#3,095,943，恢复过程耗时超过三小时。

攻击分两步执行：先瘫痪矿池，再利用未更新节点

据莱特币基金会4月25日发布的官方声明，攻击路径可分为两个环节。

第一步是对主要矿池发起DoS攻击，拉低运行已更新客户端的节点的算力占比。第二步是利用MWEB层的共识漏洞，向仍运行旧版软件的节点注入一笔无效的MWEB交易。这些未更新节点错误地将该交易视为合法，允许攻击者从MWEB隐私层中“peg out”（将资金从隐私层转出到主链），并将资金路由至第三方去中心化交易所。

Shevchenko进一步披露了攻击者的链上痕迹：攻击者计划将LTC兑换为ETH，所用地址在攻击发生38小时前从币安获得资金。他判断攻击者提前掌握了漏洞信息。

正常情况下，莱特币出块间隔约2.5分钟，13个区块应在约32分钟内产出。但此次13个区块耗时超过三小时，这一异常最初让部分观察者误判为51%攻击。实际情况是，一旦DoS攻击停止，运行已更新代码的节点重新获得算力优势，网络自动完成了13区块重组，将无效交易从主链中移除。莱特币基金会表示，重组期间的所有合法交易不受影响。

跨链协议成实际受害方，NEAR Intents报告60万美元敞口

攻击者利用分叉窗口期，在多个跨链互换协议上执行了双花交易。这些协议接受了后来被重组推翻的MWEB peg-out交易，导致实际损失。

Shevchenko在X平台发文称，NEAR Intents的风险敞口约为60万美元，其团队将覆盖用户损失。他同时警告所有接受LTC的交易平台审计交易记录和持仓，因为链上存在大量双花交易。

据Bitcoin News报道，莱特币确认无效交易已从主链中移除后，NEAR Intents的实际结算损失可能低于初始估算，但截至发稿该协议尚未发布后续声明。其他暂停LTC相关业务的跨链协议也在重新评估风险敞口。莱特币基金会未披露受影响矿池的名称，也未公开无效MWEB交易试图创造的LTC数量。

PoW网络的老问题：升级靠自愿，安全靠运气

Zcash创始人Zooko Wilcox在事件后评论称，此类回滚加双花攻击在PoW网络中并非孤例，Monero和Grin近年都遭遇过类似事件。2025年9月，Monero经历了12年来最大的区块重组，被回滚18个区块、117笔交易失效。

据CoinDesk分析，这一事件暴露了PoW网络的一个结构性矛盾：比特币和莱特币没有强制更新机制，节点可以无限期运行旧版软件。这一设计在去中心化哲学上有其价值，但当安全补丁需要在攻击者利用漏洞之前触达所有人时，就会产生致命窗口。

据Yahoo Finance分析，莱特币较小的算力规模和较低的安全预算使其比比特币更容易受到攻击。在比特币网络上回滚13个区块需要控制超过50%的算力，成本以十亿美元计；但在莱特币上，一个漏洞加上一次DoS就足以制造同等深度的重组。

官方公关翻车：嘲讽批评者“待在浅水区”，Solana反击

事件的后续处理可能比攻击本身造成了更大的信任损伤。

4月26日，莱特币官方X账号发帖称：“你们中一些人对PoW、算力、正常运行时间、重组和矿工/链关系一无所知，这很明显。待在浅水区吧，那里对你们更安全。”

据Bitcoin News报道，该帖引发数百条敌意回复。用户批评其“傲慢”“幼稚”“不专业”，有人写道“我持有你们的币好几年了，这就是你们发的东西？”社区期待的是技术透明度和事后分析，而非嘲讽。

Solana官方账号也加入了这场互动。在4月25日重组相关讨论下，@solana回复道：“周末过得怎么样，小家伙？”社区将其解读为对莱特币此前多次嘲笑Solana宕机历史的直接回击。

LTC截至事件披露后报价约56美元，当日跌约1%，年初至今跌幅约25%。市场对事件的即时反应相对平淡。

2026年DeFi安全困局：跨链基础设施成最大攻击面

据The Block数据，2026年至4月中旬，DeFi协议已因各类攻击损失超过7.5亿美元。其中包括4月19日Kelp DAO桥接攻击（2.92亿美元）和4月1日Solana永续合约平台Drift遭攻击（2.85亿美元）。多数重大事件都涉及跨链基础设施，与此次莱特币攻击者利用跨链互换协议套现的手法如出一辙。

莱特币事件再次表明，跨链协议在接受PoW链资产时面临的确认数问题比预想中更严峻。当一个漏洞客户端发布就能触发13区块重组时，6个确认是否足够安全，已经不是理论问题。