La blockchain Litecoin a subi ce week-end une attaque ciblée ayant entraîné la réorganisation de 13 blocs, une opération rapidement maîtrisée selon les responsables du projet. D’après Cryptoast, l’incident s’est produit dans la journée du samedi 26 avril 2026, perturbant temporairement le fonctionnement du réseau avant d’être résolu en quelques heures.

Ce qu'il faut retenir

  • Une attaque coordonnée a visé la blockchain Litecoin, provoquant la réorganisation de 13 blocs.
  • Les attaquants ont exploité une faille dans le protocole MWEB, permettant des tentatives de double dépense via des DEX tiers.
  • Une attaque par déni de service (DoS) a saturé les principaux pools de minage pour faciliter l’opération.
  • La faille exploitée n’était pas une vulnérabilité « zero day », mais un correctif non appliqué 31 jours avant l’attaque.
  • Le réseau a été rétabli sans incidence pour les détenteurs de Litecoin (LTC).

Selon les informations relayées par Litecoin sur son compte officiel X, l’attaque a été menée en deux temps. Une première phase a consisté en une attaque par déni de service (DoS) visant à saturer les principaux pools de minage du réseau, basé sur un mécanisme de Proof of Work. Pendant cette période, les attaquants ont profité d’une faille dans le protocole MWEB — une fonctionnalité permettant des transactions confidentielles — pour tenter des opérations de double dépense sur plusieurs protocoles inter-chaînes.

Les nœuds de minage non mis à jour ont en effet validé une transaction MWEB invalide, ouvrant la voie à des retraits de Litecoin (LTC) vers des plateformes décentralisées (DEX). Une fois l’attaque DoS terminée, le réseau a automatiquement réorganisé les blocs concernés, annulant les transactions frauduleuses. Aucune perte n’a été enregistrée pour les utilisateurs, et toutes les transactions valides effectuées pendant la perturbation ont été maintenues.

Malgré la rapidité de la réponse, cette attaque soulève des questions sur son origine et ses motivations. Litecoin a évoqué l’exploitation d’une faille « zero day », c’est-à-dire une vulnérabilité inconnue de ses développeurs. Cependant, cette hypothèse est rapidement contestée par plusieurs acteurs du secteur, qui pointent du doigt un possible scénario d’« opération montée de l’intérieur ».

« Le fait que le protocole ait automatiquement géré la réorganisation une fois l’attaque DoS arrêtée signifie qu’une partie du hashrate fonctionnait avec un code mis à jour. Ce bug était donc connu et il ne s’agit pas d’un zero-day. »

— Alex Stevchenko, cofondateur et CEO du layer 2 Aurora, sur X (ex-Twitter)

Dans un post publié sur le réseau X, Alex Stevchenko souligne que la faille avait en réalité été corrigée 31 jours avant son exploitation, mais que de nombreux nœuds miniers n’avaient pas appliqué le correctif. Une négligence qui aurait permis aux attaquants de repérer la vulnérabilité et de planifier leur offensive. Cette analyse est partagée par le compte The Smart Ape, qui affirme que « la faille de sécurité avait été corrigée 31 jours avant qu’elle ne soit exploitée, mais personne n’a appliqué le correctif ».

Cette situation interroge sur les pratiques de mise à jour des protocoles Proof of Work, où les correctifs sont parfois déployés en silence dans l’espoir qu’ils soient appliqués avant qu’une attaque ne soit lancée. Bitcoin, qui utilise le même mécanisme, pourrait être concerné par ce type de risque. Certains observateurs évoquent même l’hypothèse d’une utilisation d’outils d’intelligence artificielle, comme l’IA Claude Mythos, capable d’analyser rapidement le code et de détecter des failles.

Une faille connue mais non corrigée : un scénario plausible

L’hypothèse d’une faille « zero day » semble donc s’éloigner au profit d’un scénario où des acteurs internes ou externes auraient profité d’une négligence généralisée. Le cofondateur d’Aurora rappelle que la réorganisation automatique des blocs montre que certains mineurs avaient bien appliqué le correctif. Une situation qui suggère que les attaquants ont pu identifier les nœuds non mis à jour, voire collaborer avec des acteurs malveillants pour orchestrer l’attaque.

Cette affaire rappelle d’autres incidents similaires dans l’écosystème des cryptomonnaies, où des vulnérabilités connues ont été exploitées faute de mise à jour rapide. En 2024, le protocole Polygon avait subi une attaque similaire, exploitant une faille dans son système de validation. La rapidité de réaction de Litecoin dans ce cas précis — avec une réorganisation des blocs en quelques heures — contraste avec les délais parfois longs observés dans d’autres réseaux.

Les responsables de Litecoin n’ont pas communiqué sur d’éventuelles poursuites ou investigations en cours. Interrogés par Cryptoast, ils se sont limités à confirmer que la faille avait été corrigée et que le réseau fonctionnait normalement. Aucun détail n’a été fourni sur l’identité des attaquants ou leurs motivations, laissant planer le doute sur une possible implication d’acteurs malveillants ou d’une tentative de manipulation du marché.

Les risques pour les utilisateurs et les bonnes pratiques

Pour les détenteurs de Litecoin, cet incident n’a eu aucune incidence directe, les transactions invalides ayant été annulées. Cependant, il rappelle l’importance de suivre les mises à jour logicielles et de s’assurer que les plateformes utilisées (portefeuilles, exchanges, pools de minage) appliquent les correctifs de sécurité. Les attaques par réorganisation de blocs (reorg) restent rares, mais elles peuvent avoir des conséquences graves si elles sont exploitées pour des doubles dépenses ou des vols de fonds.

Les experts recommandent de privilégier les services qui appliquent rapidement les correctifs, et de surveiller les annonces officielles des projets. Pour les utilisateurs de Litecoin, aucune action n’est requise, le réseau ayant rétabli son intégrité. En revanche, cette affaire pourrait inciter d’autres blockchains Proof of Work à revoir leurs protocoles de mise à jour et à renforcer la communication autour des vulnérabilités.

Et maintenant ?

Litecoin a indiqué que le bug était désormais entièrement corrigé, et que le réseau fonctionnait normalement. Cependant, l’origine de l’attaque reste floue, et les spéculations sur une possible implication interne persistent. Les prochains jours pourraient apporter des éclaircissements, notamment si des investigations sont lancées par les autorités ou les développeurs du projet. À plus long terme, cette affaire pourrait accélérer la mise en place de mécanismes de détection automatisée des vulnérabilités, afin d’éviter que des correctifs non appliqués ne deviennent des failles exploitables.

Reste à savoir si d’autres réseaux Proof of Work, comme Bitcoin, prendront des mesures pour éviter un scénario similaire. En attendant, les utilisateurs de cryptomonnaies sont invités à rester vigilants et à suivre les recommandations de sécurité de leurs plateformes.

Non. Dans le cas de cette attaque, les transactions invalides ont été annulées, et les fonds des utilisateurs n’ont pas été affectés. Toutes les transactions valides effectuées pendant la perturbation restent valides.

Les utilisateurs doivent consulter les annonces officielles de Litecoin ou de leur portefeuille, ainsi que les mises à jour disponibles sur les dépôts GitHub du projet. Les plateformes et services recommandent généralement d’activer les notifications pour les correctifs de sécurité.