Litecoin litt am Wochenende des 25. April unter einer 13-Blöcke umfassenden Chain-Reorganisation, nachdem Angreifer eine Schwachstelle im Mimblewimble Extension Block (MWEB)-Protokoll ausnutzten, um ungültige Transaktionen durch ungepatchte Nodes zu schleusen. Die Litecoin Foundation stufte das Ereignis als Zero-Day-Exploit ein, doch das öffentliche litecoin-project GitHub-Repository belegt, dass die zugrundeliegende Konsens-Schwachstelle bereits zwischen dem 19. und 26. März privat gepatcht wurde — rund vier Wochen vor dem Angriff — und erst am Nachmittag des 25. April, als der Exploit bereits lief, in Release 0.21.5.4 gebündelt wurde. Eine separate Denial-of-Service-Schwachstelle, die im Angriff zum Einsatz kam, wurde am selben Morgen gepatcht.
Warum das wichtig ist
Ein Zero-Day ist per Definition eine Schwachstelle, die den Verteidigern zum Zeitpunkt des Angriffs unbekannt ist. Die Commit-Historie deutet auf das Gegenteil hin: ein bekannter Bug, dessen Fix von der öffentlichen Veröffentlichung zurückgehalten und nicht an alle Mining-Pools ausgerollt wurde — was ein Zeitfenster eröffnete, in dem einige Betreiber gepatchten Code liefen und andere nicht. Sicherheitsforscher bbsz von der Notfallreaktionsgruppe SEAL911 extrahierte den Patch-Zeitstrahl aus dem öffentlichen Commit-Log und argumentierte auf X, dass die Foundation in ihrem Post-Mortem nicht wiedergebe, was die Git-Historie zeige. Alex Shevchenko von NEAR ergänzte, dass On-Chain-Daten die Pre-Finanzierung des Angreifers auf eine Binance-Abhebung 38 Stunden vor dem Exploit zurückverfolgen, wobei die Zieladresse bereits so vorbereitet war, LTC auf einer dezentralen Börse in ETH zu swappen — ein Vorbereitungsgrad, der nicht zu einer unbekannten Schwachstelle passe.
Marktauswirkungen
Die 13-Blöcke-Reorganisation machte rund 32 Minuten Aktivität rückgängig, bevor die längste gültige Chain der Fork des Angreifers überholte, sobald die DoS-Attacke gegen gepatchte Miner endete. Die strukturelle Lesart für den breiteren Markt: ältere Proof-of-Work-Netzwerke wie Litecoin und Bitcoin verlassen sich darauf, dass unabhängige Mining-Pools eigenständig über Upgrades entscheiden — das funktioniert für Routineänderungen, hinterlässt aber eine ausnutzbare Lücke, wenn ein Sicherheits-Patch jeden Betreiber erreichen muss, bevor ein Angreifer zuschlägt; genau das Gegenteil der stundenlangen koordinierten Upgrades, die neuere Chains durchführen können.
Häufig gestellte Fragen
-
Was genau ist bei Litecoin am Wochenende des 25. April passiert?
Angreifer nutzten eine Schwachstelle im Mimblewimble Extension Block (MWEB)-Protokoll von Litecoin, um ungültige Transaktionen durch ungepatchte Nodes zu schleusen, was eine 13-Blöcke-Reorganisation auslöste und rund 32 Minuten Aktivität rückgängig machte.
-
Warum ist die „Zero-Day“-Darstellung umstritten?
Das öffentliche litecoin-project GitHub zeigt, dass der zentrale Konsens-Bug bereits zwischen dem 19. und 26. März privat gepatcht wurde — rund vier Wochen vor dem Angriff. Ein Zero-Day ist per Definition eine Schwachstelle, die den Verteidigern zum Zeitpunkt der Ausnutzung unbekannt ist.
-
Wer hat die Diskrepanz beim Patch-Zeitstrahl aufgezeigt?
Sicherheitsforscher bbsz von der Notfallreaktionsgruppe SEAL911 extrahierte den Patch-Zeitstrahl aus dem öffentlichen Commit-Log, und Alex Shevchenko von der NEAR Foundation äußerte parallel Bedenken, darunter On-Chain-Belege für die Pre-Finanzierung des Angreifers über Binance.
-
Wie hat sich das Netzwerk von der 13-Blöcke-Reorganisation erholt?
Sobald die Denial-of-Service-Angriffe auf gepatchte Mining-Nodes endeten, überholte die längste gültige Chain die Fork des Angreifers und das Netzwerk reorganisierte sich zurück in den kanonischen Zustand. Das 32-minütige ungültige Zeitfenster wurde effektiv rückgängig gemacht.
-
Hat die Litecoin Foundation auf den GitHub-Zeitstrahl reagiert?
Bis Sonntagmorgen hatte die Foundation weder den Patch-Zeitstrahl öffentlich adressiert noch offengelegt, wie viel LTC während des ungültigen Blockzeitfensters bewegt und welcher Wert an Swaps vor der durch die Reorganisation erfolgten Rückabwicklung abgeschlossen wurde.