Cardano a subi sa plus grave perturbation technique depuis son lancement en 2017 lorsqu’une transaction mal formée a déclenché une scission de chaîne de 14 heures le 21 novembre, divisant la blockchain de 14 milliards de dollars en forks concurrents et déclenchant un vif débat pour savoir si l’incident constituait une attaque délibérée ou un test qui a mal tourné.
L’épisode – surnommé « Poison Piggy » par les développeurs – a mis au jour un bug vieux de trois ans dans le logiciel des nœuds Cardano qui a créé deux visions incompatibles de la blockchain.
Tandis que le fondateur Charles Hoskinson affirmait qu’il s’agissait d’une « attaque préméditée » nécessitant l’intervention du FBI, un développeur connu sous le nom de « Homer J » a revendiqué publiquement la responsabilité, la qualifiant d’« action négligente » dans le cadre d’un défi personnel visant à reproduire une anomalie observée sur le testnet.
Comment le fork s’est produit
Selon le rapport d’incident d’Intersect, la scission de chaîne est issue d’un bug de sérialisation apparu pour la première fois sur le testnet de prévisualisation de Cardano le 20 novembre. Quelqu’un a soumis un certificat de délégation mal formé avec un hash surdimensionné – déléguant essentiellement à « RATSRATS » au lieu de « RATS » (le pool de staking personnel de Hoskinson).
Les anciens nœuds ont correctement rejeté le hash invalide, tandis que les nœuds exécutant le code mis à jour en novembre 2024 l’ont tronqué et l’ont considéré comme valide.
Ce décalage de versions a créé ce que le développeur blockchain Pi Lanningham a décrit dans son rapport d’après‑incident comme deux chaînes incompatibles : la « chicken chain », exécutant un code de validation plus strict, et la « pig chain », acceptant la transaction mal formée. Le 21 novembre vers 3 h 02 EST, une délégation mal formée quasi identique a été soumise sur le mainnet, scindant le réseau.
À lire aussi : Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Dégradation du service et impact
L’analyse de Lanningham fait apparaître des dommages significatifs mais contenus. Durant la fenêtre de 14 heures, la pig chain a produit 846 blocs tandis que la chicken chain en a généré environ 13 900. L’inclusion des transactions via l’infrastructure robuste a fortement ralenti, avec des délais atteignant environ 400 secondes et des temps de bloc allant jusqu’à 16 minutes dans les pires cas.
Sur 14 383 transactions observées, 479 – soit environ 3,3 % – n’ont figuré que sur la pig chain, finalement abandonnée, et ne sont jamais entrées dans l’historique canonique final. La plupart, une fois resoumises, se sont révélées invalides en raison d’intervalles de validité expirés ou d’entrées en conflit. Les explorateurs de blocs ont peiné à interpréter le réseau fracturé, se figeant parfois ou affichant des données contradictoires.
« Il s’agit d’une grave dégradation du service pour les utilisateurs, mais restant dans les limites attendues pour une disponibilité de type “high‑nines” », a écrit Lanningham. Il a souligné que, même si la qualité de service s’est dégradée, les fonds sont restés en sécurité et le réseau a continué à progresser tout au long de la crise.
Attaque ou accident ?
L’incident a déclenché une vive controverse sur l’intention. Hoskinson l’a présenté comme une attaque ciblée par un « opérateur de pool de staking mécontent » qui aurait passé des mois à chercher des moyens de nuire au réseau. « C’était une attaque ciblée. Préméditée. Il a probablement fallu plusieurs heures pour comprendre comment la mener… C’était un acte malveillant », a déclaré Hoskinson, ajoutant que le FBI avait été contacté.
Cependant, l’auteur de la transaction, s’exprimant sous le pseudonyme « Homer J » sur les réseaux sociaux, a proposé un récit différent : « Désolé (je sais que ce mot ne suffit pas au vu de l’impact de mes actions) les gens de Cardano, c’est moi qui ai mis le réseau en danger par mon action négligente hier soir. Au départ, c’était un défi personnel du type “voyons si je peux reproduire la mauvaise transaction”, puis j’ai été assez stupide pour la déployer sur le mainnet. »
Le timing a suscité des soupçons : la même anomalie était apparue sur le testnet seulement 24 heures plus tôt, ce qui laisse penser que l’exploit a été testé avant l’exécution sur le mainnet.
Rétablissement du réseau par le consensus
Malgré la gravité de l’événement, la réponse de Cardano a démontré la solidité de sa gouvernance décentralisée. Un nœud corrigé était déjà disponible grâce à l’incident sur le testnet. Pendant la nuit, Input Output Global, la Cardano Foundation, Emurgo, Intersect, les plateformes d’échange et les opérateurs de pools de staking se sont coordonnés via des appels d’urgence pour mettre à niveau vers la version corrigée et suivre la chicken chain plus stricte.
Il n’y a pas eu de rollback au niveau du protocole ni de « redémarrage » centralisé. À mesure que le stake a migré vers les nœuds mis à jour, la production de blocs sur la pig chain a ralenti tandis que la chicken chain accélérait. Une fois que le fork sain a dépassé le fork empoisonné, les propriétés de finalité probabiliste d’Ouroboros ont fait que les nœuds sont automatiquement passés à la chaîne la plus longue et la plus dense.
« C’est la preuve concrète que le consensus de type Nakamoto a fonctionné comme prévu et a fait converger le réseau vers une histoire canonique unique », a soutenu Lanningham. Hoskinson est allé plus loin, estimant que l’incident aurait « tué d’autres chaînes », mais que la conception de Cardano a laissé suffisamment de temps pour une reprise coordonnée.
Leçons et renforcement futur
Hoskinson comme Lanningham ont reconnu de graves faiblesses mises en lumière par l’incident. « Le simple fait que ce bug soit apparu est un échec de notre rigueur en matière de tests », a concédé Lanningham. La dépendance à cardano-db-sync a laissé l’écosystème « voler à l’aveugle » lorsque ce composant s’est écrasé face à la transaction mal formée. De nombreux opérateurs de pools de staking ont mis à jour sans analyser de manière indépendante le choix du fork, en se fiant aux recommandations des entités fondatrices.
La feuille de route d’après‑incident prévoit un renforcement du fuzzing et des tests guidés par les spécifications, des protocoles nœud‑vers‑client plus riches pour permettre aux portefeuilles et aux plateformes d’échange de mettre en place des disjoncteurs basés sur l’état réel du consensus, une plus grande diversité de l’infrastructure de surveillance et une meilleure formation des opérateurs sur le comportement d’Ouroboros en situation de stress.
Le prix de l’ADA a chuté d’environ 6 % pendant l’incident, sous‑performant le rebond plus large du marché crypto et se négociant actuellement autour de 0,41 $. Ce recul modéré au regard de la gravité de l’événement suggère que les marchés ont perçu l’incident comme un test de la résilience du réseau plutôt que comme une défaillance fondamentale – un test que Cardano a finalement réussi, tout en révélant des domaines nécessitant des améliororations urgentes.
À lire ensuite : Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline