Litecoin hat nach eigenen Angaben am 25. April eine 13 Blöcke tiefe Reorganisation der Chain durchgeführt, nachdem eine Sicherheitslücke in MWEB von nicht aktualisierten Mining-Nodes ausgenutzt worden war. Das Litecoin-Projekt erklärte in einem X-Post, „ein Zero-Day-Bug verursachte einen DoS-Angriff, der große Mining-Pools störte“, und ergänzte, dass nicht gepatchte Nodes „eine ungültige MWEB-Transaktion“ akzeptierten, mit der Coins an „DEXs von Dritten“ ausgezahlt wurden. Die daraus entstandenen ungültigen Transfers seien durch den Reorg rückgängig gemacht worden und würden „nicht in die Main Chain aufgenommen“.
Litecoin bestätigt Reorg nach MWEB-Sicherheitslücke
Nach Darstellung des offiziellen Litecoin-Accounts betraf der Vorfall sowohl die Konsenslogik rund um MWEB als auch die Erreichbarkeit von Mining-Infrastruktur. In dem Statement heißt es: „Ein Zero-Day-Bug verursachte einen DoS-Angriff, der große Mining-Pools störte. Nicht aktualisierte Mining-Nodes erlaubten eine ungültige MWEB-Transaktion, durch die Coins an DEXs von Dritten ausgezahlt werden konnten.“ Weiter schrieb das Projekt, ein „13-Block-Reorg“ habe diese Transaktionen rückgängig gemacht.
Litecoin update:
• A zero-day bug caused a DoS attack that disrupted major mining pools.
• Non-updated mining nodes allowed an invalid MWEB transaction allowing them to peg out coins to third party DEX’s
• A 13-block reorg reversed those invalid transactions — they will not…— Litecoin (@litecoin) April 25, 2026
Zusätzliche technische Rekonstruktionen von ltc.supply verorten den umgeschriebenen Bereich zwischen den Blöcken 3.095.931 und 3.095.943. Laut dem Bericht lief die siegreiche, kanonische Chain zwischen 06:50 und 09:35 UTC am 25. April. Der letzte gemeinsame Vorfahr sei Block 3.095.930 gewesen. Die Analyse beschreibt den Ablauf so: „Aktualisierte Nodes lehnten die ungültige Chain ab. Sie mineten eine konkurrierende Chain. Die konkurrierende Chain gewann.“
Auffällig war dabei die verlangsamte Blockproduktion. Für die 13 Blöcke vergingen laut ltc.supply rund zwei Stunden und 45 Minuten, während bei Litecoins Zielzeit von 2,5 Minuten pro Block eigentlich nur 32,5 Minuten zu erwarten gewesen wären. Der Bericht spricht von einer Phase, die „5,1-mal langsamer als der Zeitplan“ verlief. Nach Auflösung des Reorgs folgte mit Block 3.095.944 ein deutlicher Mempool-Abbau; dieser Block enthielt laut Quelle 1.198 Transaktionen bei 414 KB und damit ein Vielfaches eines gewöhnlichen Litecoin-Blocks.
Sicherheitsupdate schließt Bug, Fragen bleiben offen
Das Projekt veröffentlichte später Litecoin Core v0.21.5.4 und bezeichnete das Upgrade laut Release Notes als erforderlich für Node-Betreiber, Miner und Wallet-Nutzer. In den offiziellen Hinweisen wird die zentrale Korrektur als „MWEB-Konsensfix für ein Problem bei der Input-Validierung, das dazu führen konnte, dass die MWEB-Kernel-Summe unausgeglichen wird“ beschrieben. Weiter heißt es, der Fix „korrigiert die MWEB-Input/Output-Buchhaltung für die Zukunft“. Litecoin selbst erklärte parallel: „Der Bug ist nun vollständig gepatcht, und das Netzwerk arbeitet weiter normal.“
Aus den Release Notes geht zudem hervor, dass mehrere Schutzmaßnahmen gemeinsam ausgeliefert wurden. Darunter ist laut ltc.supply ein Konsens-Commit, der eine bestimmte MWEB-Output-ID dauerhaft einfriert, sowie zusätzliche Prüfungen für Inputs, Gebühren und mutierte Blockdaten. Besonders relevant ist die Passage zu einer DoS-Abwehr: „Blockdaten für mutierte Blöcke werden gelöscht, um einen Miner-DoS zu vermeiden.“ Laut der Auswertung deutet das darauf hin, dass Nodes vor dem Patch durch manipulierte MWEB-Blockdaten dauerhaft „vergiftet“ werden konnten, statt eine korrigierte Version später erneut zu prüfen.
Offen bleiben dennoch zentrale Punkte. Weder das Litecoin-Projekt noch die Release Notes beziffern bislang den Umfang der versuchten ungültigen Peg-outs. Ebenso wurden die betroffenen DEXs nicht namentlich genannt. ltc.supply hält ausdrücklich fest: „Die spezifischen empfangenden DEXs und der Brutto-LTC-Betrag, den der Angreifer abzuziehen versuchte, wurden vom Litecoin-Projekt zum Zeitpunkt der Veröffentlichung nicht bestätigt.“ Auch ein formaler CVE- oder GHSA-Hinweis lag laut Quellenlage zunächst nicht vor.
Zu den öffentlichen Deutungen des Vorfalls zählt ein Thread von Alex Shevchenko, Mitgründer von Aurora Labs, der die offizielle Einordnung als „Zero-Day“ infrage stellte. Shevchenko schrieb: „Die Tatsache, dass das Protokoll den Reorg automatisch handhabte, sobald der DoS aufhörte, bedeutet, dass ein Teil der Hashrate tatsächlich aktualisierten Code ausführte. Somit war dieser Bug bekannt und kein Zero-Day.“ Er argumentierte außerdem, DoS und MWEB-Bug seien „zwei verschiedene Dinge“ und der DoS sei lediglich ein Weg gewesen, die Schwachstelle auszunutzen.
Diese Einschätzung ist bislang nicht von Litecoin bestätigt. Ebenso blieb Shevchenkos Verweis auf eine Ethereum-Adresse, die angeblich mit dem Angreifer in Verbindung stand, umstritten. Nachdem Kritik an der Größenordnung der dort sichtbaren Mittel laut wurde, präzisierte er, es handle sich um „eine der Adressen, die der Angreifer bei der Interaktion mit NEAR Intents verwendet hat“. ltc.supply verweist seinerseits darauf, dass mehrere populäre Theorien zum Cross-Chain-Ausmaß des Vorfalls nicht unabhängig bestätigt seien und zwischen verifizierbaren On-Chain-Daten und Interpretation getrennt werden müsse.
Klarer ist das Bild bei der Hashrate-Verteilung während des Reorg-Fensters. Nach Auswertung der Coinbase-Signaturen in den betroffenen Blöcken wurden alle 13 Blöcke der siegreichen Chain von F2Pool gemined. AntPool, KuPool und ViaBTC tauchten in diesem Zeitraum nicht auf. ltc.supply betont jedoch, das sei „kein Beweis“, dass einzelne Pools ungepatchte Software betrieben hätten. Die Daten seien „konsistent“ mit mehreren Erklärungen, darunter Ausfälle, Pausen oder Resynchronisation. Fest steht nach den Primärquellen vor allem: Der Reorg fand statt, der Bug wurde offiziell bestätigt, und das erforderliche Sicherheitsupdate ist veröffentlicht.
Für Marktteilnehmer und Infrastrukturbetreiber ist der Litecoin-Vorfall vor allem deshalb relevant, weil er zeigt, wie schnell ein MWEB-spezifischer Konsensfehler in einen tiefen Reorg, operative Störungen bei Pools und potenzielle Risiken für externe Liquiditäts- oder Bridge-Systeme umschlagen kann. Gleichzeitig ist die öffentliche Informationslage in wesentlichen Punkten noch unvollständig. Solange Litecoin weder den versuchten Betrag noch die betroffenen Gegenparteien offenlegt, bleibt die technische Ursache zwar klarer als das wirtschaftliche Schadensbild.
KI-Transparenzhinweis: Dieser Artikel wurde mit Unterstützung eines KI-Systems auf Basis der angegebenen Quellen vorbereitet und vor der Veröffentlichung redaktionell durch einen menschlichen Editor geprüft, bearbeitet und freigegeben. Alle Zitate, Daten und Tatsachenbehauptungen sollen aus den genannten Quellen stammen; dennoch können Fehler nicht vollständig ausgeschlossen werden.