TL;DR

  • Un error crítico en el Bloque de Extensión Mimblewimble (MWEB) de Litecoin fue explotado en marzo de 2026 para generar 85.034 LTC sin respaldo
  • Los desarrolladores de Litecoin se coordinaron con el pool de minería para congelar los fondos; el atacante cooperó y los devolvió a cambio de una recompensa de 850 LTC
  • En abril, un nuevo actor intentó lo mismo, desencadenando una reorganización de la cadena de 13 bloques y pérdidas estimadas en 600.000 dólares para servicios de terceros
  • Litecoin Core 0.21.5.4 ha sido lanzado y se espera que cierre completamente la vulnerabilidad

Error en la capa de privacidad abrió la puerta a la inflación del suministro de LTC

En marzo de 2026, un actor desconocido explotó un grave error de validación en la capa MWEB de Litecoin, la extensión de privacidad basada en Mimblewimble que se activó en la red en 2022. El error residía en la forma en que MWEB validaba las entradas durante la conexión de bloques, lo que permitía a un minero incluir metadatos mal formados que no coincidían con la salida de transacción no gastada real a la que se hacía referencia.

Como resultado, a la altura del bloque 3.073.882, el atacante logró producir un «pegout» inflado –un pago del sistema MWEB a una dirección transparente– por un total masivo de 85.034,47285734 LTC, según un análisis post-mortem publicado por el desarrollador de Litecoin David Burkett y reproducido por Bitcoinist.

85.034 LTC fueron creados de la nada, sin respaldo en el suministro real de la red.
Error crítico en Litecoin permitió a atacante crear 85.000 LTC de la nada

Respuesta coordinada detuvo la hemorragia

Los desarrolladores de Litecoin reaccionaron rápidamente. En cooperación con los principales pools de minería, los fondos fueron congelados y se contactó directamente al atacante. Según la información disponible, el atacante optó por cooperar y devolvió la mayor parte del monto a cambio de una recompensa de 850 LTC. El fundador de Litecoin, Charlie Lee, supuestamente cubrió personalmente la recompensa para restaurar el libro mayor de MWEB. No se registraron pérdidas confirmadas de usuarios como resultado del incidente de marzo.

Error crítico en Litecoin permitió a atacante crear 85.000 LTC de la nada

Incidente de abril: Reorganización y pérdidas millonarias para terceros

A pesar de los intentos de remediación después del incidente de marzo, un nuevo actor atacó en abril de 2026 con el mismo patrón de ataque. Los nodos actualizados rechazaron el bloque inválido, pero el manejo de los datos MWEB mutados provocó que varios nodos de minería actualizados se detuvieran o dejaran de funcionar. Esto allanó el camino para que los mineros no actualizados construyeran sobre una cadena inválida.

La cadena inválida creció a 13 bloques –aproximadamente 32 minutos de historial de cadena– antes de que los participantes de la red actualizados lograran coordinar una reorganización profunda y restaurar la cadena válida, según la documentación disponible.

Las consecuencias para los servicios de terceros fueron notables. NEAR Intents, según Bitcoinist y la investigación relacionada, sufrió pérdidas estimadas en 600.000 dólares debido a operaciones de doble gasto durante la bifurcación. El CEO de Aurora Labs, Alex Shevchenko, lo caracterizó como un «ataque coordinado». NEAR Intents ha prometido una compensación total a los usuarios afectados. La infraestructura relacionada con THORChain y SwapKit también se vio afectada.

Es importante subrayar que estas cifras de pérdidas se basan en información de las partes afectadas y aún no han sido verificadas de forma independiente en su totalidad.

85.034 LTC
Generados ilegalmente en el ataque de marzo
13 bloques
Longitud de la cadena inválida en abril
~$600.000
Pérdidas estimadas para NEAR Intents

Vulnerabilidad conocida, pero no parcheada

La firma de seguridad Quarkslab realizó una auditoría de 45 días de la implementación de MWEB de Litecoin ya en 2021-2022. El informe identificó un error crítico clasificado como HIGH01: los bloques MWEB no se validaban correctamente, lo que potencialmente podría permitir a un minero deshonesto enviar bloques inválidos que fueran aceptados por la red. Se recomendó añadir una llamada a la función MWEB::CheckBlock desde el lado canónico.

No está claro hasta qué punto se dio seguimiento a este hallazgo, y si la vulnerabilidad específica de 2026 está directamente relacionada con el hallazgo HIGH01. El proyecto Litecoin aún no ha comentado públicamente sobre esta conexión.

El parche está disponible, pero abundan las advertencias

Litecoin Core 0.21.5.4 fue lanzado para abordar ambos incidentes. La actualización tiene como objetivo asegurar que los datos de bloques corruptos sean rechazados y que la contabilidad y validación de MWEB se fortalezcan en todos los niveles. La Fundación Litecoin asegura que todas las transacciones legítimas realizadas durante el período afectado se conservan en la cadena primaria y que la vulnerabilidad de seguridad ha sido completamente remediada.

Sin embargo, los incidentes señalan desafíos estructurales. Varios analistas han destacado la tasa de hash relativamente baja de Litecoin como un factor de riesgo persistente que hace que la red sea más vulnerable a ataques del 51 por ciento. El CEO de Aurora Labs recomienda que todas las plataformas que procesan transacciones de Litecoin realicen auditorías exhaustivas de sus propios registros y tenencias. También se han presentado propuestas para extender los períodos de confirmación para los servicios entre bloques a más de 50 bloques, o para suspender temporalmente las operaciones entre bloques de LTC hasta que la red haya demostrado suficiente estabilidad.