零日漏洞事件后发布关键莱特币更新 - U.Today

莱特币团队刚刚宣布了一次新的核心版本发布，其中包含重要的安全更新。

在一条推文中，莱特币官方 X 账号透露，核心版本 0.21.5.5 现已可用。莱特币 Core v0.21.5.5 是一次补丁版本发布，包含重要的 MWEB 共识加固、节点可靠性改进、钱包和挖矿修复，以及构建/测试更新。因此，强烈建议所有节点运营商和钱包用户尽快升级。

该版本还包含值得注意的更改，包括重要的 MWEB 验证和状态处理修复。

为了使有效的 MWEB 区块和消息能够在消息大小限制内传输，最大 P2P 协议消息长度已增加到 32 MB。该版本还在构建 HogEx 交易时，防止从磁盘读取前一个区块。这样也避免了在候选区块中包含那些其输入与输出承诺相加结果为零的 MWEB 交易。

新增并扩展了针对 MWEB P2P 消息、重复的 pegins、崩溃恢复、变异区块、挖矿，以及钱包/RPC 行为的测试。

修复了 MWEB PMMR 回绕（rewind）腐败问题，同时提升了 MMR 文件写入的持久性。还修复了一个交易索引一致性问题：当在区块数据写入之后索引提交失败时，可能会出现该问题。

莱特币发布关于 zero day 漏洞的报告

今年 4 月，莱特币遭遇了一次 zero-day 漏洞，导致了一次 DoS 攻击并扰乱了主要的挖矿池。未更新的挖矿节点允许无效的 MWEB 交易，使其能够将硬币“peg out”到第三方 DEX。13 个区块的重组（reorg）逆转了这些无效交易，从而不允许它们被包含在主链中。随后不久，为了处理该故障，发布了莱特币 Core 0.21.5.4。

在 4 月底，一份关于该事件的事后报告（post mortem report）发布。莱特币开发者在 2026 年 3 月于莱特币的 Mimblewimble Extension Block 实现中发现了一个关键的验证漏洞。4 月，一名第二位攻击者或测试者试图使用相同的最初漏洞路径。升级后的节点拒绝了该错误区块，进而形成了一个 13 个区块的无效链；随后在升级后的矿工协调于有效链之后，该无效链被重组（reorg）移除。根本漏洞现已修复。