Default
Door Remote - 26 Apr 2026
Een ketenreorganisatie van 13 blokken op LTC$56,25 eind vrijdag en zaterdag zorgde ervoor dat ongeveer 32 minuten aan netwerkactiviteit werd teruggedraaid nadat aanvallers een kwetsbaarheid in het Mimblewimble Extension Block (MWEB)-protocol hadden gebruikt.
De bug had een denial-of-service-aanval op grote mijnbouwpools mogelijk gemaakt, waardoor de ongeldige MWEB-transacties door knooppunten konden glippen die niet waren bijgewerkt, voordat de langst geldige keten van het netwerk ze corrigeerde.
Litecoin Core v0.21.5.4 uitgebracht! Alle gebruikers wordt geadviseerd om te upgraden. Deze release bevat belangrijke beveiligingsupdates. https://t.co/6vtrhdXi4c
— Litecoin (@litecoin) 25 april 2026
De Foundation zei zondag in de Aziatische ochtenduren dat de bug volledig was gepatcht en dat het netwerk normaal functioneert.
Prominente onderzoekers zeggen echter dat de GitHub-repository van het Litecoin-project een ander verhaal vertelt. Beveiligingsonderzoeker bbsz, die samenwerkt met de SEAL911-noodhulpgroep voor crypto-exploits, plaatste de patch-tijdlijn uit het openbare commit-logboek.
Nu dat spul openbaar is gemaakt op de Litecoin GitHub, hebben we een beter idee van de tijdlijn en van wat er is gebeurd.
In het tijdperk van Mythos vliegt deze tijdlijn gewoon niet.
De post-mortem zegt dat één zero-day een DoS veroorzaakte waardoor een ongeldige MWEB-tx erdoorheen gleed. De git log in… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF
– bbsz (@blackbigswan) 26 april 2026
De consensuskwetsbaarheid die de ongeldige MWEB-peg-out mogelijk maakte, werd tussen 19 en 26 maart privé gepatcht, ongeveer vier weken vóór de aanval. Op de ochtend van 25 april werd een afzonderlijke denial-of-service-kwetsbaarheid verholpen.
Beide fixes werden dezelfde middag in release 0.21.5.4 doorgevoerd, nadat de aanval al was begonnen.
“Uit het autopsierapport blijkt dat één zero-day een DoS veroorzaakte waardoor een ongeldige MWEB-transactie doorbrak”, schreef bbsz. "Het git-logboek vertelt een iets ander verhaal." Een zero-day verwijst naar een kwetsbaarheid die onbekend is bij verdedigers op het moment van een aanval.
Uit de commitgeschiedenis van Litecoin blijkt dat de consensuskwetsbaarheid een maand vóór de exploit bekend was en privé werd gepatcht, maar dat de oplossing niet publiekelijk was uitgezonden of vereist was voor alle miningpools.
Dat creëerde een venster waarin sommige mijnwerkers de gepatchte code uitvoerden, terwijl anderen de nog steeds kwetsbare versie gebruikten, en de aanvallers lijken te weten welke welke was.
Alex Shevchenko, CTO van het Aurora-project van de NEAR Foundation, bracht in een draad parallelle zorgen naar voren.
Uit Blockchain-gegevens bleek dat de aanvaller 38 uur vóór de exploit een portemonnee vooraf had gefinancierd via een opname van Binance, waarbij het bestemmingsadres al was geconfigureerd om LTC om te wisselen naar ETH op een gedecentraliseerde beurs.
De denial-of-service-aanval en de MWEB-bug waren afzonderlijke componenten, betoogde Shevchenko, waarbij de DoS was ontworpen om gepatchte mining-nodes offline te halen, zodat de niet-gepatchte de keten zouden vormen die de ongeldige transacties omvatte.
Het feit dat het netwerk de reorganisatie van 13 blokken automatisch afhandelde zodra de DoS stopte, suggereert dat er voldoende hashrate bijgewerkte code draaide om de aanval uiteindelijk te overmeesteren, maar pas nadat de niet-gepatchte fork 32 minuten had gedraaid.
Een hit op Litecoin laat zien hoe aanvallen op verschillende netwerken verschillen in de manier waarop codebeheerders en ontwikkelaars reageren op exploits. Nieuwere ketens met kleinere, meer gecentraliseerde validatorsets coördineren upgrades via chatgroepen en kunnen patches binnen enkele uren over het hele netwerk pushen.
Oudere proof-of-work-netwerken zoals Litecoin en Bitcoin zijn afhankelijk van onafhankelijke mijnbouwpools die beslissen wanneer ze moeten upgraden, wat werkt voor niet-dringende veranderingen, maar een venster van kwetsbaarheid creëert wanneer een beveiligingspatch iedereen moet bereiken voordat een aanvaller het gat kan misbruiken.
De Litecoin Foundation heeft de GitHub-tijdlijn vanaf zondagochtend niet publiekelijk besproken.
Het bedrag aan LTC dat tijdens de ongeldige blokperiode werd vastgelegd en de waarde van eventuele swaps die werden voltooid voordat de reorganisatie deze ongedaan maakte, zijn niet bekendgemaakt.
UPDATE (26 april, 11:04 UTC): Herschrijft de kop om zich te concentreren op aanval, remedie
De bug had een denial-of-service-aanval op grote mijnbouwpools mogelijk gemaakt, waardoor de ongeldige MWEB-transacties door knooppunten konden glippen die niet waren bijgewerkt, voordat de langst geldige keten van het netwerk ze corrigeerde.
Litecoin Core v0.21.5.4 uitgebracht! Alle gebruikers wordt geadviseerd om te upgraden. Deze release bevat belangrijke beveiligingsupdates. https://t.co/6vtrhdXi4c
— Litecoin (@litecoin) 25 april 2026
De Foundation zei zondag in de Aziatische ochtenduren dat de bug volledig was gepatcht en dat het netwerk normaal functioneert.
Prominente onderzoekers zeggen echter dat de GitHub-repository van het Litecoin-project een ander verhaal vertelt. Beveiligingsonderzoeker bbsz, die samenwerkt met de SEAL911-noodhulpgroep voor crypto-exploits, plaatste de patch-tijdlijn uit het openbare commit-logboek.
Nu dat spul openbaar is gemaakt op de Litecoin GitHub, hebben we een beter idee van de tijdlijn en van wat er is gebeurd.
In het tijdperk van Mythos vliegt deze tijdlijn gewoon niet.
De post-mortem zegt dat één zero-day een DoS veroorzaakte waardoor een ongeldige MWEB-tx erdoorheen gleed. De git log in… https://t.co/zMMrheQLPP pic.twitter.com/O3DtdwV0rF
– bbsz (@blackbigswan) 26 april 2026
De consensuskwetsbaarheid die de ongeldige MWEB-peg-out mogelijk maakte, werd tussen 19 en 26 maart privé gepatcht, ongeveer vier weken vóór de aanval. Op de ochtend van 25 april werd een afzonderlijke denial-of-service-kwetsbaarheid verholpen.
Beide fixes werden dezelfde middag in release 0.21.5.4 doorgevoerd, nadat de aanval al was begonnen.
“Uit het autopsierapport blijkt dat één zero-day een DoS veroorzaakte waardoor een ongeldige MWEB-transactie doorbrak”, schreef bbsz. "Het git-logboek vertelt een iets ander verhaal." Een zero-day verwijst naar een kwetsbaarheid die onbekend is bij verdedigers op het moment van een aanval.
Uit de commitgeschiedenis van Litecoin blijkt dat de consensuskwetsbaarheid een maand vóór de exploit bekend was en privé werd gepatcht, maar dat de oplossing niet publiekelijk was uitgezonden of vereist was voor alle miningpools.
Dat creëerde een venster waarin sommige mijnwerkers de gepatchte code uitvoerden, terwijl anderen de nog steeds kwetsbare versie gebruikten, en de aanvallers lijken te weten welke welke was.
Alex Shevchenko, CTO van het Aurora-project van de NEAR Foundation, bracht in een draad parallelle zorgen naar voren.
Uit Blockchain-gegevens bleek dat de aanvaller 38 uur vóór de exploit een portemonnee vooraf had gefinancierd via een opname van Binance, waarbij het bestemmingsadres al was geconfigureerd om LTC om te wisselen naar ETH op een gedecentraliseerde beurs.
De denial-of-service-aanval en de MWEB-bug waren afzonderlijke componenten, betoogde Shevchenko, waarbij de DoS was ontworpen om gepatchte mining-nodes offline te halen, zodat de niet-gepatchte de keten zouden vormen die de ongeldige transacties omvatte.
Het feit dat het netwerk de reorganisatie van 13 blokken automatisch afhandelde zodra de DoS stopte, suggereert dat er voldoende hashrate bijgewerkte code draaide om de aanval uiteindelijk te overmeesteren, maar pas nadat de niet-gepatchte fork 32 minuten had gedraaid.
Een hit op Litecoin laat zien hoe aanvallen op verschillende netwerken verschillen in de manier waarop codebeheerders en ontwikkelaars reageren op exploits. Nieuwere ketens met kleinere, meer gecentraliseerde validatorsets coördineren upgrades via chatgroepen en kunnen patches binnen enkele uren over het hele netwerk pushen.
Oudere proof-of-work-netwerken zoals Litecoin en Bitcoin zijn afhankelijk van onafhankelijke mijnbouwpools die beslissen wanneer ze moeten upgraden, wat werkt voor niet-dringende veranderingen, maar een venster van kwetsbaarheid creëert wanneer een beveiligingspatch iedereen moet bereiken voordat een aanvaller het gat kan misbruiken.
De Litecoin Foundation heeft de GitHub-tijdlijn vanaf zondagochtend niet publiekelijk besproken.
Het bedrag aan LTC dat tijdens de ongeldige blokperiode werd vastgelegd en de waarde van eventuele swaps die werden voltooid voordat de reorganisatie deze ongedaan maakte, zijn niet bekendgemaakt.
UPDATE (26 april, 11:04 UTC): Herschrijft de kop om zich te concentreren op aanval, remedie