Community Trust ScoreProbablement Réel
La plupart des nœuds Litecoin utilisent encore un logiciel incapable d’empêcher une répétition de l’attaque par double dépense d’avril. C’est un problème que personne ne semble résoudre assez rapidement.
Moins de 30% des nœuds ont installé les correctifs publiés après qu’un pirate a exploité une faille dans les transactions du MimbleWimble Extension Block de Litecoin — connu sous le nom de MWEB. Les autres ? Pratiquement des cibles faciles. Environ 39% des nœuds sont encore sur la version v0.21.4, la version vulnérable, et la plupart d’entre eux sont des nœuds non miniers. Les nœuds miniers, c’est une autre histoire — la majorité d’entre eux ont effectué la mise à jour, ce qui signifie que les mineurs ne se feront probablement pas avoir de la même manière à nouveau. Mais les nœuds de validation, c’est une toute autre affaire, et beaucoup d’entre eux traitent encore des transactions sans le correctif.
Pas génial.
Ce qui s’est réellement passé en avril
L’attaque a eu lieu le 25 avril. Une transaction de sortie MWEB mal formée est passée — un petit apport soutenant un retrait beaucoup plus important, créant effectivement des Litecoin illégitimes à partir de rien. Les nœuds miniers non mis à jour ont accepté la transaction invalide, et l’attaquant a réussi à transférer des pièces vers des plateformes tierces avant que quiconque ne puisse l’arrêter. Le réseau Litecoin a réagi avec une réorganisation d’urgence de 13 blocs, qui a inversé l’activité frauduleuse et stoppé l’hémorragie. Réaction rapide, tout bien considéré. Mais le fait que cela soit allé aussi loin a ébranlé la confiance.
La faille remonte à la manière dont Litecoin Core gère les transactions MWEB. MWEB, activé en 2022, a été conçu pour offrir aux utilisateurs de Litecoin une meilleure confidentialité des transactions. Bonne idée en théorie. Mais cela a involontairement introduit la vulnérabilité que l’attaquant d’avril a découverte et exploitée. La couche de confidentialité qui était censée être un atout est devenue une responsabilité.
Litecoin Core v0.21.5.4 a été publié le lendemain de l’événement de réorganisation — le 25 avril — ciblant les vecteurs d’attaque par déni de service sur les pools miniers. Puis, début mai, l’équipe a déployé v0.21.5.5, un correctif de suivi visant à renforcer davantage la validation MWEB. Deux correctifs, un objectif clair, disponibles depuis des semaines. Et pourtant, la plupart du réseau n’a pas bougé.
Pourquoi l’adoption lente est importante
Litecoin a une capitalisation boursière de 3,4 milliards de dollars. Ce n’est pas un petit chiffre. Et la sécurité de ce réseau dépend presque entièrement des opérateurs de nœuds qui maintiennent leur logiciel à jour — ce qui, il s’avère, est plus difficile à coordonner qu’il n’y paraît dans un système décentralisé. Vous ne pouvez forcer personne à mettre à jour. Vous pouvez inciter, avertir, publier des correctifs, et vous répéter. Mais si les opérateurs n’agissent pas, la vulnérabilité reste là.
Et c’est un peu là où en sont les choses actuellement.
L’équipe Litecoin a poussé fort pour l’adoption, exhortant tous les utilisateurs à passer aux dernières versions et expliquant clairement ce qui est en jeu. Les correctifs sont conçus pour rejeter directement les transactions MWEB invalides, de sorte que les nœuds exécutant le logiciel mis à jour ne traiteront pas le type de sortie mal formée qui a déclenché le désordre d’avril. Mais avec environ 70% des nœuds encore sur des versions plus anciennes, une partie significative du réseau de validation ne peut pas prendre cette décision correctement. Un attaquant qui tenterait une manœuvre similaire aujourd’hui trouverait de nombreux nœuds prêts à accepter ce qu’ils ne devraient pas.
L’écart entre les nœuds miniers et les nœuds de validation non miniers mérite qu’on s’y attarde ici. Les mineurs ont mis à jour parce qu’ils avaient un intérêt direct — ce sont eux dont les pools ont été ciblés par l’angle de l’attaque par déni de service de l’exploit. Les opérateurs de nœuds non miniers ne font pas face à la même pression immédiate, et il semble que cela se reflète dans leur taux de mise à jour. Ce n’est probablement pas de la malveillance. C’est probablement juste de l’inertie. Mais l’inertie dans la sécurité des réseaux tend à mal finir.
Où en est le réseau maintenant
Aucun calendrier n’existe pour savoir quand — ou si — les nœuds restants mettront à jour. L’équipe Litecoin n’a pas spécifié de date limite, et il n’y a pas de mécanisme dans un réseau décentralisé pour forcer la question. On ne sait pas si l’adoption lente déclenchera une sensibilisation plus agressive de la part de l’équipe ou si la communauté attendra simplement et espérera que rien ne se passe entre-temps.
Ce qui est clair, c’est que l’exposition du réseau n’est pas théorique. L’attaque d’avril n’était pas une preuve de concept ou une démonstration de chercheur — c’était une véritable tentative, et elle a fonctionné suffisamment bien pour nécessiter une réorganisation de 13 blocs pour annuler. Si une tentative similaire se produisait aujourd’hui, les mineurs la détecteraient probablement avant qu’elle ne devienne permanente. Mais « probablement » n’est pas la même chose que « certainement », et les nœuds de validation qui fonctionnent encore sous v0.21.4 ajoutent une incertitude réelle à ce tableau.
Les réseaux décentralisés ont toujours eu du mal avec les mises à jour coordonnées. C’est un problème connu, pas unique à Litecoin. Mais les enjeux sont plus élevés lorsque la vulnérabilité corrigée a déjà été exploitée dans la nature, et non simplement découverte en théorie. Les correctifs existent. Ils fonctionnent. Les installer sur les 70% de nœuds restants est la partie que personne n’a encore résolue.
L’équipe Litecoin Core a publié la v0.21.5.5 début mai.
Questions Fréquentes
Qu’est-ce qui a causé la vulnérabilité de double dépense de Litecoin ?
Une faille dans la manière dont Litecoin Core gérait les transactions MimbleWimble Extension Block (MWEB) a permis à une transaction de sortie mal formée d’utiliser un petit apport pour soutenir un retrait beaucoup plus important, créant effectivement des Litecoin illégitimes.
Comment Litecoin a-t-il arrêté l’attaque de double dépense d’avril 2026 ?
Le réseau a réalisé une réorganisation d’urgence de 13 blocs qui a inversé les transactions frauduleuses après qu’un attaquant a exploité la faille MWEB et transféré des pièces vers des plateformes tierces.
