Samedi après-midi, le compte officiel de Litecoin a confirmé qu'une vulnérabilité zero-day avait provoqué une attaque par déni de service sur les principaux pools de minage, entraînant une réorganisation de la chaîne sur 13 blocs au cours de laquelle les transactions invalides ont été annulées avant de pouvoir être validées sur la chaîne principale.
Principales conclusions :
- Litecoin a confirmé qu'une vulnérabilité zero-day a affecté les principaux pools de minage le 25 avril 2026, permettant le traitement de transactions MWEB invalides via des nœuds non patchés.
- Une réorganisation de 13 blocs a annulé les transactions invalides ; Litecoin affirme que toutes les transactions valides sont sécurisées et que la vulnérabilité a été entièrement corrigée.
- $NEAR Intents a signalé un risque de perte de 600 000 $, mais les pertes réelles pourraient être moindres, Litecoin confirmant que les transactions invalides ont été annulées.
Problèmes de réorganisation de Litecoin
Selon l'équipe Litecoin, des nœuds de minage non patchés ont traité une transaction MWEB invalide, permettant ainsi le transfert de cryptomonnaies vers des plateformes d'échange décentralisées (DEX) tierces. Cette vulnérabilité a permis à des attaquants d'acheminer des transactions frauduleuses via des nœuds n'ayant pas installé les dernières mises à jour.
Le réseau a réagi à cette vulnérabilité en réorganisant 13 blocs. Il a annulé les transactions invalides et empêché leur intégration à la chaîne principale. L'équipe Litecoin a confirmé que toutes les transactions valides effectuées durant cette période n'ont pas été affectées.
L'équipe assure que le bug a depuis été entièrement corrigé. Le réseau Litecoin fonctionne normalement, selon un communiqué de l'équipe publié le 25 avril à 16h22 (heure de l'Est).
Le PDG d'Aurora Labs, Alex Shevchenko, et l'analyste de données blockchain Zacodil ont signalé la réorganisation plus tôt dans la journée. Les observateurs ont d'abord interprété cette réorganisation de 13 blocs comme une attaque classique à 51 %. Les horodatages des données blockchain ont montré que la génération de ces blocs a pris plus de trois heures, alors que le temps de génération habituel de 13 blocs pour Litecoin, compte tenu de son intervalle de 2,5 minutes, est d'environ 32 minutes.
La déclaration officielle de Litecoin présente une nouvelle version des événements. Selon elle, cette réorganisation n'était pas une tentative de manipulation de l'historique par des acteurs malveillants à des fins lucratives. Il s'agissait plutôt d'une correction par le réseau d'une vulnérabilité due à un bug, grâce à la suppression de la chaîne invalide.
$NEAR Intents avait initialement annoncé des risques d'environ 600 000 $, précisant que son équipe prendrait en charge les pertes des utilisateurs. Litecoin ayant confirmé l'annulation et la suppression des transactions invalides de la chaîne principale, les pertes réelles pourraient être nettement inférieures aux chiffres initialement annoncés. $NEAR Intents n'a pas encore publié de communiqué complémentaire reflétant cette évolution.
D'autres protocoles inter-chaînes acceptant le LTC et ayant suspendu leurs opérations suite à cet incident devraient également reconsidérer leurs risques maintenant que l'équipe Litecoin a clarifié le déroulement des événements.
Pour beaucoup, cet incident met en lumière la vulnérabilité réelle des réseaux à preuve de travail dont les nœuds exécutent des versions logicielles obsolètes. Des nœuds non patchés ont traité une transaction qui aurait dû être rejetée, permettant ainsi l'exploitation de la vulnérabilité MWEB.
« Il ne s'agit pas d'un incident isolé. Il y a deux ans et récemment, de nombreuses attaques similaires de type rollback et double-spend ont visé des blockchains reposant uniquement sur la preuve de travail, notamment Monero et Grin », a écrit Zooko Wilcox, fondateur de Zcash, samedi.
Cette histoire est encore en développement.