Le 25 avril, Litecoin a été confronté à une importante faille de sécurité lorsque sa couche de confidentialité MWEB a été exploitée, entraînant une attaque de double dépense. L’attaquant a ciblé des nœuds non mis à jour pour exécuter des transactions invalides à travers des protocoles inter-chaînes, générant un risque financier d’environ 600 000 dollars. Le réseau a subi une réorganisation de 13 blocs pour corriger le problème, bien qu’il ait été révélé que la vulnérabilité avait déjà été corrigée 37 jours plus tôt, suscitant un débat sur sa classification en tant qu’attaque “zero-day”. Cet incident a marqué la première grande faille de sécurité de Litecoin depuis l’activation de sa couche MWEB en 2022.
L’attaque s’est déroulée en deux étapes : d’abord, en paralysant les pools de minage avec une attaque par déni de service (DoS), puis en exploitant la vulnérabilité de la couche MWEB. Cela a conduit à ce que des transactions invalides soient traitées comme légitimes par des nœuds non mis à jour, permettant à l’attaquant de diriger des fonds vers des échanges décentralisés. Les actions de l’attaquant ont été retracées jusqu’à une adresse financée depuis Binance avant l’attaque, indiquant une connaissance préméditée de la vulnérabilité.
Malgré une confusion initiale attribuant l’événement à une attaque à 51%, le réseau a réussi à se réorganiser pour éliminer les transactions invalides, laissant les transactions légitimes intactes. L’attaquant a profité de cette fenêtre pour exécuter des transactions en double dépense, affectant particulièrement les protocoles inter-chaînes tels que NEAR Intents, qui a signalé une exposition de 600 000 dollars. Bien que la Fondation Litecoin n’ait pas divulgué de détails spécifiques sur les pools de minage affectés ou le volume de LTC impliqué, l’incident a mis en lumière les défis auxquels sont confrontés les réseaux de preuve de travail (PoW) pour garantir que les mises à jour de sécurité atteignent rapidement tous les nœuds.
La réponse officielle de Litecoin, qui a tourné en dérision les critiques, a suscité une vive réaction de la communauté, exacerbant les problèmes de confiance. Cet événement souligne les vulnérabilités au sein de l’infrastructure inter-chaînes de la finance décentralisée (DeFi), qui reste une cible de choix pour les attaquants.
