我刚刚了解到，上周末莱特币发生了一件相当严重的事情。一项针对 MWEB 协议的零日漏洞利用触发了 13 个区块的链重组，基本上相当于倒回了约 32 分钟的网络活动。更令人咋舌的是，当你想想这些攻击究竟是如何运作的。

下面是事情的经过：攻击者利用了莱特币 Mimblewimble Extension Block 协议中的一个漏洞。等拒绝服务（DoS）攻击停止后，网络最终重组回了有效链，但事情竟然发生了，这就引发了关于补丁部署时机的非常严肃的问题。

从技术角度看，更有意思的是这次零日漏洞利用是如何逐步展开的。事实证明，那个共识漏洞在更早的几周前就已经被私下修补了，时间大约在 3 月中旬到 3 月下旬之间。但问题在于——并非所有矿池都还没有部署修复。一些节点运行的是更新后的代码，而另一些节点仍然存在漏洞。研究人员认为，攻击者就是有针对性地打了这个“空隙”。

时间线其实非常具有揭示性。共识漏洞在 3 月份被悄悄修补了，但拒绝服务漏洞直到 4 月 25 日上午才得到处理。两个修复都在同天下午以 0.21.5.4 版本发布，但到那时攻击已经在进行中。来自 SEAL911 应急响应组的安全研究员 bbsz 调取了 GitHub 的提交历史，并指出公开时间线与基金会最初的说法并不一致。

攻击者显然做了相当精细的协调行动。据悉，有人甚至在漏洞利用发生前 38 小时通过一家大型交易所预先为一个钱包进行了资金注入，已经做好了在去中心化交易所（DEX）上把 LTC 兑换成 ETH。拒绝服务攻击的设计目标是让已修补的矿工下线，从而让未修补的节点形成一条包含无效交易的链。这是一个非常复杂的两段式动作。

这起事件之所以是“真正的零日漏洞”，而且漏洞其实已经被知晓并在私下修补过，更能凸显一个重要点：不同网络在安全处理上的方式存在差异。较新的区块链由于验证者集合较小，能够通过协调渠道在数小时内把补丁推送到整个网络。但像莱特币这样的较老工作量证明网络，依赖于各个独立矿池自己选择何时升级。日常更新这样做通常没问题，但当关键安全补丁需要在攻击者找到漏洞窗口之前传达到所有节点时，就会出现恰恰类似这次的情况。

当 DoS 攻击停止后，网络中运行更新代码的算力足够多，最终能够压过攻击并重组回有效链。不过，处理无效交易的那 32 分钟窗口令人担忧。莱特币基金会至今仍未公开回应 GitHub 时间线，也未披露在这段无效区块窗口期间究竟有多少 LTC 实际发生了转移。

这类事件之所以重要，是因为它能帮助我们理解网络的韧性。这不是一次完全失败——网络进行了自我纠正——但它确实表明：针对补丁部署窗口的协调式零日攻击，即使发生在成熟的网络上，也可能造成真实的干扰。值得持续关注的是，基金会将如何对这次事件做事后复盘。你也可以在 Gate 查看 LTC 在约 58.89 美元附近的交易情况，以观察市场如何在事件发生后对价格进行定价。