Una reorganización de Litecoin revierte transacciones tras un «ataque coordinado»

La red de Litecoin vivió este fin de semana uno de sus episodios más crítico desde la implementación de su capa de privacidad. Una combinación de un ataque de denegación de servicio (DoS) y una vulnerabilidad en el protocolo Mimblewimble Extension Block (MWEB) provocó una reorganización de 13 bloques, invalidando aproximadamente 32 minutos de historial de transacciones.

El incidente, que ocurrió entre la noche del viernes y la mañana del sábado 25 de abril, permitió que atacantes ejecutaran doble gasto y extrajeran fondos de protocolos de intercambio entre cadenas (cross-chain), planteando dudas sobre la gestión de parches de seguridad por parte de la Fundación Litecoin.

En las últimas horas la Fundación comunicó que el error ya está completamente solucionado e insta a los operadores de nodos a actualizar a la versión de cliente más reciente: Litecoin Core v0.21.5.4.

Ataque a MWEB y DoS coordinado

Según los reportes técnicos, el ataque aprovechó una vulnerabilidad de consenso en MWEB que permitía la filtración de transacciones inválidas a través de nodos que no habían actualizado su software.

Para asegurar que la cadena inválida ganara tracción, los atacantes lanzaron un ataque DoS contra los principales pools de minería. El objetivo era desconectar los nodos que ya contaban con el parche de seguridad, permitiendo que los nodos vulnerables (sin actualizar) formaran una cadena que incluía transacciones MWEB fraudulentas.

Alex Shevchenko, CEO de Aurora Labs, calificó el suceso como un «ataque coordinado». La bifurcación se extendió desde el bloque 3.095.930 hasta el 3.095.943. La «ventana de vulnerabilidad» fue aprovechada por los atacantes, quienes, según datos de la cadena, precargaron una wallet desde Binance (0xfF18652A84aAd4f99F464f6B58cE7Ad929F6Fc10) 38 horas antes del evento, preparando swaps de LTC a ETH en exchanges descentralizados.

Una vez que el ataque DoS cesó y la potencia de procesamiento (hashrate) con el software actualizado retomó el control, la red aplicó automáticamente la reorganización para volver a la cadena válida, borrando la actividad fraudulenta pero dejando un rastro de pérdidas en plataformas externas.

De la vulnerabilidad de «día cero» al parche silencioso

Aunque la Fundación Litecoin sugirió inicialmente que se trataba de un error desconocido, investigadores de seguridad contradicen esta versión basándose en los registros públicos de GitHub.

El investigador conocido como bbsz, integrante del grupo SEAL911, reveló una cronología que sugiere que los desarrolladores ya conocían el fallo:

• 19 al 26 de marzo: la vulnerabilidad de consenso en MWEB fue parcheada de forma privada (casi un mes antes del ataque).

• 25 de abril (mañana): se parcheó una segunda vulnerabilidad de denegación de servicio.

• 25 de abril (tarde): se lanzó la versión 0.21.5.4 con ambas correcciones, justo cuando el ataque ya estaba en curso.

«El análisis post mortem dice que una vulnerabilidad de día cero causó una DoS que permitió que una transacción MWEB inválida se filtrara. El registro de Git en litecoin-project/litecoin cuenta una historia ligeramente diferente», que sugiere que la vulnerabilidad ya era conocida, señaló bbsz.

Impacto financiero y pérdidas en el ecosistema

Si bien la red Litecoin corrigió su historial y las transacciones legítimas se mantuvieron a salvo, los protocolos que interactúan con LTC sufrieron el impacto del doble gasto antes de la reorganización.

• NEAR Intents: reportó una exposición de aproximadamente 600.000 dólares.

• Exchanges descentralizados: se detectaron múltiples swaps realizados justo antes de que la reorganización revirtiera las transacciones.

• Mercado: a pesar de la gravedad técnica, el precio de LTC mostró resiliencia, cotizando cerca de los 56 dólares, con una caída marginal del 1% tras conocerse la noticia.

El escenario expuesto de este ataque pone en la mesa de discusión lo delicado de la seguridad de ciertos protocolos: si los desarrolladores aplican un «parche silencioso» sin alertar a los mineros para que actualicen masivamente, crean condiciones donde los atacantes pueden identificar qué nodos siguen vulnerables y dirigir sus esfuerzos hacia ellos.

Hasta el cierre de esta nota, la Fundación Litecoin no ha emitido comentarios adicionales sobre la discrepancia entre el cronograma de GitHub y sus declaraciones oficiales. Este es el primer ataque de gran escala contra MWEB desde su activación en mayo de 2022.