Peristiwa itu di Litecoin pada hari Jumat ke Sabtu jauh lebih menarik daripada yang dikatakan oleh Yayasan. Sebuah reorganisasi 13 blok membalik sekitar 32 menit aktivitas di jaringan ketika penyerang mengeksploitasi celah pada protokol Blok Ekstensi Mimblewimble. Harga LTC saat ini sekitar $58,65, tetapi yang benar-benar menarik perhatian adalah bagaimana cerita resmi tidak sesuai dengan apa yang dipublikasikan di GitHub.

Yayasan Litecoin mengatakan bahwa itu adalah serangan zero-day, seperti biasanya. Tapi kemudian peneliti bbsz, yang bekerja di bidang keamanan eksploit dalam kripto, mulai menyelidiki riwayat commit dan menemukan sesuatu yang cukup aneh. Kerentanan konsensus kritis yang memungkinkan transaksi MWEB tidak valid lolos, apakah sudah diperbaiki beberapa minggu sebelum serangan? Sebenarnya, sudah. Diperbaiki secara privat antara 19 dan 26 Maret, hampir sebulan sebelum semuanya meledak.

Yang terjadi adalah bahwa kerentanan zero-day sebenarnya tidak begitu zero. Seseorang mengetahui tentang itu, memperbaikinya secara privat, tetapi perbaikannya tidak dirilis ke semua kolam penambangan sekaligus. Kemudian tercipta jendela yang sangat menguntungkan di mana beberapa penambang menjalankan kode yang diperbarui sementara yang lain masih rentan. Dan penyerang tampaknya tahu persis mana yang mana.

Alex Shevchenko, CTO dari Aurora di NEAR Foundation, juga mengangkat poin yang sangat valid. Serangan penolakan layanan dan bug MWEB adalah hal yang terpisah. DoS secara khusus dirancang untuk menjatuhkan node penambangan yang sudah diperbarui, memaksa yang belum diperbarui membentuk rantai dengan transaksi tidak valid. Sangat cerdas, bukan? Data menunjukkan bahwa pelaku serangan bahkan telah membiayai sebuah dompet 38 jam sebelumnya, melakukan penarikan dari sebuah bursa terdesentralisasi besar, dengan alamat yang sudah siap untuk melakukan swap LTC ke ETH.

Yang paling membingungkan adalah jaringan secara otomatis memperbaiki diri begitu serangan DoS berhenti, yang menunjukkan bahwa ada cukup kekuatan hash yang menjalankan kode yang diperbarui. Tapi butuh waktu 32 menit untuk itu terjadi. Yayasan belum menjelaskan secara rinci timeline perbaikan maupun berapa LTC yang terdampak selama jendela blok tidak valid tersebut.

Ini menunjukkan perbedaan nyata antara bagaimana jaringan yang berbeda menangani eksploit. Rantai yang lebih baru, dengan validator terpusat, mampu mengoordinasikan pembaruan dalam hitungan jam. Tapi Litecoin dan Bitcoin, sebagai proof-of-work yang lebih tua, bergantung pada kolam penambangan independen untuk memutuskan kapan mereka memperbarui. Ini berfungsi baik untuk perubahan biasa, tetapi menciptakan kerentanan ketika sebuah perbaikan keamanan harus sampai ke semua orang sebelum penyerang mengeksploitasi. Ini adalah trade-off menarik yang masih diproses oleh komunitas.