Litecoin зазнав атаки та ненавмисної глибокої реорганізації блокчейну – Bits Media

Невідомі скористалися вразливістю нульового дня у мережі Litecoin. Помилка дозволила провести атаку на кшталт «відмова в обслуговуванні» (DoS) проти великих майнінгових пулів, повідомили розробники блокчейну.

В результаті почалася реорганізація ланцюжка глибиною 13 блоків: це дозволило скасувати некоректні транзакції в основному ланцюжку Litecoin.

Атака була пов'язана з рівнем конфіденційності MimbleWimble Extension Block (MWEB) – він потрібен для переказу монет LTC так, щоб ніхто не бачив суму та учасників переказу. Litecoin активував розширення навесні 2022 року, що відповідає за перевірку збереження кількості монет між двома рівнями в кожному блоці, і до сьогоднішньої атаки вразливість ніяк себе не проявляла.

Як пояснив фонд підтримки Litecoin, через помилку майнери, які не оновили своє програмне забезпечення, почали приймати та підтверджувати неправильні транзакції в конфіденційній частині мережі. Зловмисники скористалися цим, щоб провести «подвійні витрати»: спочатку вони перевели монети з конфіденційної частини до звичайної (де всі бачать транзакції), а потім спробували використати ці ж монети ще раз, поки система була спантеличена.

Через атаку мережа розділилася на дві версії. В одній версії були транзакції зловмисників, в іншій – ні. Зловмисники намагалися якнайшвидше вивести отримані таким чином кошти на децентралізовані біржі. Форк тривав більше трьох годин і охоплював блоки з 3095930 по 3095943.

Команда Litecoin «відмотала мережу назад» на 13 блоків, скасувавши скоєні за цей час підозрілі операції, і залишила в історії блокчейну лише правильні. За словами розробників, вони виправили помилку в коді.

Деякі майданчики вже повідомили про втрати. Збитки для платформи NEAR Intents становили близько $600 000. Розробники виявили безліч транзакцій з подвійними витратами на інших майданчиках, оцінка збитків тільки почалася.

До середини квітня DeFi-протоколи через хакерські атаки втратили понад $750 млн. Понад $292 млн виведено з мосту Kelp. Наразі децентралізовані майданчики збирають кошти на відновлення кредитної платформи Aave, яка найбільше постраждала від злому: зловмисники взяли на майданчику кредит під заставу вкрадених токенів.