Le compte officiel de Litecoin a confirmé samedi après-midi qu'une faille zero-day a déclenché une attaque par déni de service contre les principaux pools de minage, entraînant une réorganisation de la chaîne de 13 blocs qui a annulé des transactions invalides avant qu'elles ne puissent être finalisées sur la chaîne principale.
Points clés :
- Litecoin a confirmé qu'une faille zero-day a touché les principaux pools de minage le 25 avril 2026, permettant des transactions MWEB invalides via des nœuds non mis à jour.
- Une réorganisation de 13 blocs a annulé les transactions invalides ; Litecoin affirme que toutes les transactions valides sont sécurisées et que le bogue est entièrement corrigé.
- NEAR Intents avait signalé une exposition de 600 000 $, mais les pertes réelles pourraient être moindres maintenant que Litecoin confirme que les transactions invalides ont été supprimées.
Problèmes de réorganisation de Litecoin
Selon l'équipe Litecoin, des nœuds non mis à jour ont traité une transaction MWEB invalide qui a permis à des pièces d'être échangées vers des plateformes de échange décentralisé ( DEX). Ce bogue a offert aux attaquants un moyen de faire passer des transactions frauduleuses via des nœuds n'ayant pas appliqué les mises à jour récentes.
La réorganisation de 13 blocs a été la réponse du réseau à cette exploitation. Elle a annulé les transactions invalides et empêché leur inclusion dans la chaîne principale. L'équipe Litecoin a confirmé que toutes les transactions valides pendant cette période restent inchangées.
L'équipe affirme que le bogue a depuis été entièrement corrigé. Le réseau Litecoin fonctionne normalement selon la déclaration de l'équipe publiée à 16h22 HE le 25 avril.
Le PDG d'Aurora Labs, Alex Shevchenko, et l'analyste onchain Zacodil avaient signalé la réorganisation plus tôt dans la journée, les observateurs interprétant initialement la réorganisation de 13 blocs comme une attaque classique de 51 %. Les horodatages onchain ont montré que ces blocs avaient pris plus de trois heures pour être générés, contre une cible normale d'environ 32 minutes pour 13 blocs à un temps de bloc de 2,5 minutes pour Litecoin.
La déclaration officielle de Litecoin reformule ce qui s'est produit. La réorganisation n'était pas due à des attaquants ayant réussi à réécrire l'histoire à des fins lucratives, mais à la correction par le réseau d'une exploitation causée par un bug en rejetant la chaîne invalide.
NEAR Intents avait initialement signalé une exposition d'environ 600 000 $, affirmant que son équipe couvrirait toutes les pertes des utilisateurs. Avec la confirmation de Litecoin que les transactions invalides ont été annulées et supprimées de la chaîne principale, les pertes effectivement constatées pourraient être significativement inférieures à celles initialement rapportées. NEAR Intents n'a pas encore publié de déclaration de suivi pour refléter cette nouvelle situation.
D'autres protocoles cross-chain acceptant LTC et ayant suspendu leurs activités en réponse à l'incident sont également attendus pour réévaluer leur exposition maintenant que l'équipe Litecoin a clarifié la séquence des événements.
Pour beaucoup, cet incident met en lumière une vulnérabilité réelle des réseaux de preuve de travail qui exécutent des nœuds sur des versions anciennes du logiciel. Les nœuds non mis à jour ont traité une transaction qu'ils auraient dû rejeter, ce qui a permis à l'exploit MWEB de prendre son envol.
« Ce n’est pas un incident isolé. De nombreuses attaques de type rollback et double dépense ont été menées contre des blockchains utilisant uniquement le Proof-of-Work, il y a plusieurs années comme récemment, notamment contre Monero et Grin », a écrit samedi Zooko Wilcox, fondateur de Zcash.
Cette histoire est encore en cours.