Litecoin, una rete blockchain di primo livello (layer-1) basata su Proof-of-Work (PoW), è stata colpita sabato da una vulnerabilità «zero-day» che ha causato una riorganizzazione della catena di 13 blocchi, secondo quanto riferito dal team di Litecoin, mentre altri sviluppatori sostengono che il bug potesse essere già noto.
Il bug ha causato un attacco denial of service (DoS) ai mining pool con software appena aggiornato, sopprimendone la potenza di hashing, secondo un aggiornamento del team di Litecoin.
Ciò ha permesso ai nodi più vecchi di “trasferire” monete verso exchange decentralizzati e protocolli di swap cross-chain, con il risultato che transazioni non valide sono state pubblicate sul livello di privacy MimbleWimble Extension Blocks (MWEB) della rete, secondo il team.
I nodi aggiornati hanno infine ripreso il controllo della potenza di hashing della rete, eseguendo una riorganizzazione di 13 blocchi che ha annullato le transazioni non valide, le quali non appariranno sulla catena principale. Il bug è stato ora completamente risolto, ha affermato il team di Litecoin.
L'incidente si verifica in un momento in cui si registra un aumento delle vulnerabilità zero-day – ovvero potenziali falle nel codice sconosciute agli sviluppatori del software che lanciano il prodotto – poiché i sistemi di IA come Claude Mythos di Anthropic superano gli esseri umani nell'individuare tali superfici di attacco.
Possibile che alcuni fossero già a conoscenza del bug
Un indirizzo Binance ha effettuato un versamento a favore dell'autore dell'attacco all'inizio della settimana, il che fa supporre che questi avesse pianificato l'attacco in anticipo e fosse già a conoscenza della vulnerabilità del codice, secondo quanto riferito da Alex Shevchenko, cofondatore di Aurora, una rete di scalabilità di livello 2. Ha dichiarato:
«Il fatto che il protocollo abbia gestito automaticamente la riorganizzazione una volta cessato l'attacco DoS, il che è ottimo, significa che una parte dell'hashrate stava effettivamente utilizzando un codice aggiornato. Pertanto, questo bug era già noto e non si tratta di un zero-day.»
«La tempistica e la scelta degli obiettivi suggeriscono che non si sia trattato di un caso fortuito», ha affermato in risposta lo sviluppatore blockchain Vadim, aggiungendo: «I layer 1 con un basso hashrate non costituiscono più una garanzia sicura per il trasferimento di valore tra blockchain».
I bridge cross-chain, che consentono il trasferimento di asset digitali tra diversi protocolli blockchain, rappresentano da tempo una delle principali superfici di attacco nel settore delle criptovalute, causando nel corso degli anni perdite per miliardi di dollari.
L'esempio più recente e di grande risonanza di uno sfruttamento di un bridge è stato l'attacco al protocollo di restaking Kelp del 18 aprile, che all'inizio di questo mese ha causato alla piattaforma una perdita di circa 293 milioni di dollari.
