剛剛了解了週末 Litecoin 發生的事情，老實說這是一個相當精彩的案例研究，展示了較舊的工作量證明（PoW）網路如何處理安全修補。

所以基本上，攻擊者利用了 Litecoin 的 MWEB 協議中的一個漏洞，而這個漏洞早在數週前就已經私下修補了。這次攻擊引發了13個區塊的鏈重組，倒回了約32分鐘的網路活動。令人感興趣的是，時間點的安排。

根據公開的 GitHub 提交記錄，核心共識漏洞在3月19日至3月26日之間被悄悄修復，距離漏洞被利用大約四週前。但事情的關鍵是——那個修補並不是在整個網路上強制執行的。有些礦池更新了他們的程式碼，而有些則沒有，形成了一個攻擊者可以針對的漏洞窗口。

一位安全研究人員從提交記錄中抽取時間線，指出這次攻擊實際上有兩個協同運作的部分。首先，是一個拒絕服務（DoS）漏洞，在4月25日被修補。這個DoS攻擊似乎是設計用來讓已修補的礦工節點下線，讓未修補的節點形成一條包含無效交易的鏈。接著，共識漏洞讓那些不良的 MWEB 交易在網路最終修正之前得以通過。

區塊鏈數據顯示，攻擊者在漏洞利用前38小時，已經通過交易所提取資金到一個錢包，並且已經設置好將 LTC 兌換成 ETH 的去中心化交易所。這是一個相當計算周密的行動。

當 DoS 攻擊停止，且有足夠的算力運行已更新的程式碼，最終超越了無效的分叉，網路得以自我修正。但這個32分鐘的時間窗口才是真正的問題所在。這基本上突顯了較舊的 PoW 網路（如 Litecoin 和 Bitcoin）與較新鏈的差異。較新網路擁有較少的驗證者集，可以在數小時內透過協調渠道推送修補。而較舊的網路則依賴獨立的礦池決定何時升級，這對於非緊急的更新來說沒問題，但在安全修補需要同步到所有人時，卻會產生真正的漏洞。

Litecoin 基金會表示該漏洞已完全修補，網路運作正常，但他們尚未公開說明修補的時間線，也未披露在無效區塊期間有多少 LTC 受到影響。目前價格約為58.58美元。

這是一個很好的提醒，即使是成熟的網路，在推出關鍵安全更新時也可能遇到協調上的問題。零日漏洞本身不是唯一的問題——真正的問題在於修補存在與全面部署之間的時間差。