主要パブリックブロックチェーンとしては極めて異例の出来事が起きた。The Blockによると、Litecoinネットワークは2026年4月25日深夜から26日未明にかけて、13ブロックの大規模なチェーン再編成(リオルグ)を実施し、約32分間の取引履歴を書き換えた。攻撃者がプライバシー層MWEB(MimbleWimble Extension Block)の検証バグを悪用し、不正に資金を引き出してDEX(分散型取引所)に流出させようとしたためだ。
事後対応は迅速だった一方、CoinDeskが追って報じたGitHubコミット履歴の精査によって、開発者コミュニティ内で「ゼロデイ攻撃だったのか、既知バグの修正展開を怠った人為ミスだったのか」という新たな論争が広がっている。
なぜ13ブロックの巻き戻しは異例なのか
パブリックブロックチェーンは「過去の取引は書き換えない」を最大の信頼の根拠としている。1〜2ブロック程度の小規模リオーグはネットワーク遅延などで日常的に発生するが、13ブロック規模の意図的な巻き戻しは、Litecoinのような時価総額上位チェーンでは過去にほとんど例がない。Bitcoinや主要L1で同等の事案が起きれば、取引所の入出金が長時間停止するレベルの事件として扱われる。
今回の巻き戻しは約32分の履歴を消したかたちだが、攻撃者が実際にDEXまで資金を到達させていれば被害は不可逆だった。Litecoinチームは「クリティカル」な対応として旧ブロックを破棄し、攻撃前の状態にネットワークを戻した。
ブロックチェーン上の「正史」が後から別の枝に差し替えられること。通常は数ブロック以内で自然解消するが、意図的に深い巻き戻しを行えば「過去の取引が消える」事態になる。投資家にとっては「自分が受け取ったはずのコインが消える」可能性を意味する。
MWEBプライバシー層の何が悪用されたのか
Litecoinは2022年5月にMWEBと呼ばれるプライバシー機能を追加した。送金額や送受信者の情報を秘匿しながら本体チェーンと連動させる仕組みで、本体ブロックに「拡張ブロック」として相乗りする設計になっている。
攻撃者は、このMWEBが本体チェーンと結合する際の検証ロジックの欠陥を突き、旧バージョンのマイナー(採掘者)ノードに不正なトランザクションを承認させた。CoinTelegraphが伝える事後解析によれば、攻撃の起点はプライバシー層から本体チェーンへ資金を「引き出す」処理にあり、本来の保有量を超える金額をMWEB側から流出させようとしたという。
一部のクロスチェーンスワッププロトコルは、Litecoinのエクスポージャー再評価のためにLTCの取り扱いを一時停止している。
「ゼロデイか、既知バグの放置か」開発者間の対立
当初、Litecoin開発チームは「未公開の脆弱性(ゼロデイ)を悪用された」と説明した。しかしCoinDeskの調査によると、GitHubのコミット履歴上、攻撃発生の数週間前にプライベートリポジトリで該当バグの修正が行われていたことが判明した。つまり修正コードは存在していたが、マイナーノード全体への展開(アップグレード)が完了する前に攻撃を受けたかたちだ。
開発者コミュニティでは「これはゼロデイではなく、既知バグの段階的展開を待っている間に起きた事故。プライベート修正そのものが攻撃者へのヒントになった可能性もある」との批判が出ている。脆弱性を非公開で修正している期間に、その情報が漏れる、あるいは独自に発見されるリスクは、オープンソースのセキュリティ運用で常に問題になる論点だ。
私たちの仮想通貨投資にどう関係するか
このニュースは「LTCを保有しているか」とは別に、3つの実務的な含意を持つ。
第一に、取引所からの入出金停止リスクである。深いリオーグが起きたチェーンは、取引所が一時的に入出金を止める。送金詰まりが起きた際に「自分の資産がブロックチェーン上にあるか取引所にあるかわからない」という宙吊り状態が数時間〜数日続くことがある。
第二に、プライバシー機能を実装したチェーン全般への波及だ。Monero、Zcash、Dashなど、プライバシー特化型のチェーンは「秘匿性ゆえに検証が難しい」という共通の構造的弱点を抱えている。Litecoinは元々プライバシーチェーンではなくMWEBは「後付け」だが、後付けゆえの検証カバレッジの薄さが今回の弱点を生んだ。
第三に、開発者コミュニティのガバナンスがコードの品質と同じくらい重要だという事実だ。「修正パッチがあった」だけでは安全にならない。マイナーが古いノードを使い続ける限り、ネットワーク全体としては脆弱なままになる。アップグレードのコーディネーション失敗そのものが攻撃の機会になる。
今後の注目点
短期的には、取引所のLTC入出金再開タイミングと、L2/クロスチェーンプロトコルがLitecoinの取り扱いをどこまで制限するかが焦点となる。中期的には、Litecoin開発チームが次回のセキュリティ修正をどう公表・展開するか、そして他のプライバシー機能搭載チェーンが類似の脆弱性監査を行うかが見どころだ。
ビットコイン本体は4月27日時点で約7万8,000ドル前後で推移しており、Litecoin事案によるBTC価格への直接的な波及は限定的だ。ただし「主要チェーンでも深いリオーグが起こり得る」という事実は、機関投資家のチェーン選定基準に長期的に影響する可能性がある。
個人投資家が意識すべき3つのポイント
1. 取引所の入出金停止リスクを織り込む — 重大なネットワーク事案の発生時、取引所は入出金を一時停止する。「いつでも引き出せる」前提でポジションを組まない。
2. プライバシー機能搭載チェーンには別軸のリスクがある — 秘匿性は便利な一方で検証カバレッジが薄くなりやすい。プライバシー特化チェーンへのエクスポージャーは、チェーン全体の中で偏りすぎないように管理する。
3. 「修正済み」と「展開済み」は別物 — オープンソース開発では、コードの修正がネットワーク全体に行き渡るまでにタイムラグがある。脆弱性の公開タイミングそのものがリスクイベントになると理解しておく。
