Die Fake-Chain würde erst im Verborgenen und parallel zur "richtigen" Chain gemint; mit einer manipulierten Software trägt der Angreifer hier Sorge, dass sich dieser "Fake-Node" nicht mit den anderen Nodes verbindet - und so bekommt im Idealfall niemand etwas davon mit.

Der Client des Stakers (also der, der dem Merchant die Coins zur Verfügung stellt) würde daher erst mal auf der "richtigen" Chain verbleiben, deshalb würde er denken, alles habe seine Richtigkeit (er sähe auch die Rewards).

In dem Moment, in dem der Angreifer ganz auf die "Fake-Chain" umschwenkt - d.h. die Verbindung zu den anderen Nodes ermöglicht - und diese Chain dann als "gültig" erklärt wird, merkt der Staker natürlich, das es eine "Reorganisation" (kurz Reorg) gibt - wenn er denn online ist. Eine lange Reorg, wie sie bei 51%-Attacks typisch wäre (mindestens mehrere Stunden), sollte schon Verdacht auslösen.

Das Problem ist: Die Staker müssten sehr schnell reagieren, da sonst der Merchant die Coins ausgeben kann und der Double-Spend vollendet wäre. Sie müssten 1) ihre Coins sofort "zurückholen" (also wieder die Kontrolle übernehmen soll ja bei XSN gehen - immerhin wäre das ein Pluspunkt gegenüber LPOS!) und  2) eine upgedatete (eigentlich: manipulierte) Software installieren (Hardfork), welche die Chain des Angreifers explizit als ungültig erklärt.

Der Hardfork ist zwar auch später möglich (ähnlich wie bei Ethereum/TheDAO damals) aber dann ist der Schaden eventuell schon angerichtet und man könnte höchstens noch per Strafverfolgung den betrügerischen Merchant bestrafen ...