알파리포트
뉴스
리서치
마켓정보
라운지
커뮤니티
서비스
매체소개
고객센터
2
라이트코인(LTC) 개발진이 ‘Mimblewimble Extension Block(MWEB)’ 검증 결함을 공식 인정했다. 이 취약점은 공격자가 8만5034.47285734 LTC 규모의 과대 pegout을 만들어낼 수 있게 했고, 뒤이어 긴급 대응으로 자금이 회수되면서 장부 불일치는 해소됐다. 13일 라이트코인 개발자 데이비드 버킷(David Burkett)이 공개한 사후 보고서에 따르면, 같은 결함은 4월에도 추가 악용 시도를 불러왔고, 업그레이드된 채굴 노드에 장애를 일으키며 13개 블록짜리 무효 체인 재조정으로 이어졌다.
검증 누락이 만든 취약점, 실제 입력보다 큰 출금 허용
보고서에 따르면 문제의 핵심은 블록 연결 과정에서 MWEB 입력과 실제 UTXO의 메타데이터가 일치하는지 확인하는 검증이 빠져 있었다는 점이다. 정상적인 메모리풀과 블록 생성 경로에서는 해당 검사가 이뤄졌지만, 블록 연결 단계에서는 완전히 강제되지 않았다. 공격자는 이 틈을 이용해 실제로는 1.2084693 LTC를 넘지 않는 입력으로 8만5034.47285734 LTC의 pegout을 만들어냈다.
이 공격은 블록 높이 3,073,882에서 발생했다. 생성된 자금은 투명한 라이트코인 주소로 먼저 이동한 뒤 세 개의 출력으로 분리됐다. 다만 이런 악용은 정상적인 전파와 블록 구성 절차를 우회해야 했기 때문에, 공격자는 직접 블록을 채굴하거나 결함이 있는 데이터를 넣겠다는 채굴자를 확보해야 했다.
채굴풀 긴급 공조로 자금 회수… 이용자 자금 피해는 없어
개발팀은 취약점을 확인한 뒤 주요 채굴풀과 비공개로 협력해 추가 악용을 막았다. 이를 위해 라이트코인 코어 0.21.5와 0.21.5.1이 긴급 배포됐고, 이미 받아들여진 공격 블록에는 예외를 두되 공격자가 통제하던 세 개의 투명 출력은 일시적으로 지출하지 못하도록 막았다.
이후 공격자가 동결된 출력 중 하나를 다시 쓰려 했지만, 업그레이드한 채굴자들이 이를 거부했다. 개발팀이 공격자와 접촉하자 상대는 850 LTC의 보상 조건에 합의했고, 회수 거래에 서명했다. 보고서에 따르면 회수된 금액은 총 84,184.47278630 LTC였으며, 850 LTC는 합의된 보상으로 공격자 주소에 남았다. 나머지 자금은 다시 MWEB로 되돌려져 내부 공급 균형을 맞췄다.
라이트코인 개발진은 3월 사건에서 확인된 사용자 자금 손실은 없었다고 밝혔다. 다만 긴급 채굴자 공조, 단계적 배포, 역사적 공격 데이터에 대한 예외 처리까지 필요했던 만큼 네트워크 운영 부담은 적지 않았다는 평가다.
4월 재공격은 ‘도스’로 번져, 13블록 무효 체인 발생
두 번째 사건은 4월 25일 블록 높이 3,095,931에서 시작됐다. 또 다른 공격자가 같은 취약 경로를 시도했지만, 업그레이드된 노드는 잘못된 MWEB 데이터를 거부했다. 문제는 이 과정에서 블록의 정규 해시를 바꾸지 않고도 MWEB 본문을 변조할 수 있는 별도 처리 결함이 드러났다는 점이다.
보고서는 업그레이드 노드가 변조된 블록을 받으면 MWEB 본문 적용에 실패하고 ‘BLOCK_MUTATED’로 분류한 뒤, 이후 같은 해시의 정상 데이터를 다시 받아들이지 못하는 상황이 생길 수 있다고 설명했다. 이 때문에 일부 채굴 노드는 정상 채굴을 신속히 이어가지 못했고, MWEB 패치를 적용하지 않은 채굴자들은 무효 체인을 계속 늘렸다.
결국 무효 체인은 블록 높이 3,095,943까지 이어졌고, 총 13개 블록이 잘못 생성된 뒤 정상 체인이 이를 앞질렀다. 라이트코인 측은 이번 조정이 정상 체인의 롤백이 아니라, 업그레이드가 늦거나 검증 규칙을 완전히 적용하지 않은 채굴자들이 만든 ‘무효 체인’의 재조정이라고 강조했다.
NEAR·THORChain에도 여파… 라이트코인 업그레이드 필요성 부각
4월 재조정은 외부 인프라에도 영향을 줬다. 보고서에 따르면 니어프로토콜(NEAR) 기반 인텐츠는 11,000 LTC를 7.78814476 BTC로 교환한 뒤 해당 LTC가 유효 체인에서 빠지면서 큰 손실을 입었다. THORChain도 공격자가 10 LTC를 0.00719957 BTC로 바꾼 뒤 라이트코인 측 거래가 무효화되는 영향을 받았다.
라이트코인 코어 0.21.5.4는 4월 25일 배포돼 변조된 블록으로 분류된 데이터는 지우고, 같은 블록 해시의 정상 데이터를 다시 받아들일 수 있도록 수정됐다. 개발진은 이용자, 채굴자, 거래소, 서비스 운영자에게 0.21.5.4 이상으로 업그레이드하고 노드 동기화 상태를 확인하라고 권고했다.
현 시점에서 LTC는 55.95달러에 거래되고 있다. 이번 사태는 라이트코인(LTC)의 MWEB 설계 자체보다도 검증 경로의 일부 누락이 얼마나 큰 혼란으로 이어질 수 있는지 보여줬다. 업그레이드 속도와 노드 정합성이 시장 신뢰를 좌우할 수 있다는 점도 다시 부각됐다.
![[특징주] 한미반도체, 빅테크 훈풍에 강세…HBM 장비 기대에 5%대 상승](https://f1.tokenpost.kr/2026/04/b9o6k84qrg_th_860x0.webp)
![[특징주] LG전자, 1분기 최대 매출에 강세…전장·가전 동반 성장 부각](https://f1.tokenpost.kr/2026/04/hj9dbjyxle_th_860x0.webp)
![[토큰화 ④] 실험은 있었으나 인프라는 없었다 — 한국 토큰화 실패의 구조적 해부](https://f1.tokenpost.kr/2026/03/2exeedskm6_th_860x0.webp)
![[특징주] 산일전기, 블룸에너지와 503억 규모 ‘특수변압기’ 수주… 목표가 25만 원 상향](https://f1.tokenpost.kr/2026/04/47320opbyj_th_860x0.webp)
![[에너지분석] 이란 전쟁이 바꾼 중국의 선택… 미국산 에탄 수입 사상 최대](https://f1.tokenpost.kr/2026/03/7s8m816fu8_th_860x0.jpg)
![[토큰분석] 스테이블코인, 이제 외환시장을 흔든다](https://f1.tokenpost.kr/2026/04/50oj587tk0_th_860x0.jpg)
![[토큰분석] 비트코인, 아무도 모르는 사이 추세가 바뀌었다](https://f1.tokenpost.kr/2026/04/i7t9ms0ep3_th_860x0.webp)
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6_th_860x0.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6_th_860x0.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd_th_860x0.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf_th_860x0.webp)
![[토큰포스트] 기사 퀴즈 586회차](https://f1.tokenpost.kr/2026/04/85pshzyriy_th_860x0.png)
![[토큰포스트] 기사 퀴즈 585회차](https://f1.tokenpost.kr/2026/04/49bgh45ly5_th_860x0.webp)
![[토큰포스트] 기사 퀴즈 584회차](https://f1.tokenpost.kr/2026/04/1pi2l2c6ct_th_860x0.png)
![[토큰포스트] 기사 퀴즈 583회차](https://f1.tokenpost.kr/2026/04/43zq77fvbs_th_860x0.webp)
![[알트 현물 ETF] XRP 단독 순유입…알트 전반 ‘보합·관망’ 흐름 확대](https://f1.tokenpost.kr/2026/04/ldt6mgvykm_th_860x0.jpg)
