Cardano a subi sa plus grave perturbation technique depuis son lancement en 2017 lorsqu’une transaction mal formée a déclenché une scission de chaîne de 14 heures le 21 novembre, divisant la blockchain de 14 milliards de dollars en forks concurrents et déclenchant un débat intense pour savoir si l’incident constituait une attaque délibérée ou un test raté.
L’épisode – baptisé « Poison Piggy » par les développeurs – a mis au jour un bug vieux de trois ans dans le logiciel des nœuds Cardano qui a créé deux vues incompatibles de la blockchain.
Tandis que le fondateur Charles Hoskinson insistait sur le fait qu’il s’agissait d’une « attaque préméditée » nécessitant l’implication du FBI, un développeur connu sous le nom de « Homer J » a revendiqué publiquement la responsabilité, la présentant comme une « action négligente » dans le cadre d’un défi personnel visant à reproduire une anomalie observée sur le testnet.
Comment le fork s’est produit
Selon le rapport d’incident d’Intersect, la scission de chaîne provient d’un bug de sérialisation apparu pour la première fois sur le testnet « preview » de Cardano le 20 novembre. Quelqu’un a soumis un certificat de délégation mal formé avec un hash surdimensionné – déléguant essentiellement vers « RATSRATS » au lieu de « RATS » (le stake pool personnel de Hoskinson).
Les anciens nœuds ont correctement rejeté le hash invalide, tandis que les nœuds exécutant le code mis à jour en novembre 2024 l’ont tronqué et traité comme valide.
Ce décalage de versions a créé ce que le développeur blockchain Pi Lanningham a décrit dans son rapport post‑incident détaillé comme deux chaînes incompatibles : la « chicken chain », exécutant un code de validation plus strict, et la « pig chain », acceptant la transaction mal formée. Le 21 novembre, vers 3 h 02 EST, une délégation mal formée quasi identique a été soumise sur le mainnet, scindant le réseau.
À lire aussi : Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Dégradation du service et impact
L’analyse de Lanningham révèle des dommages significatifs mais contenus. Durant la fenêtre de 14 heures, la pig chain a produit 846 blocs tandis que la chicken chain en a généré environ 13 900. L’inclusion des transactions via l’infrastructure robuste a fortement ralenti, avec des délais atteignant environ 400 secondes et des temps de bloc s’allongeant jusqu’à environ 16 minutes dans les pires cas.
Sur 14 383 transactions observées, 479 – soit environ 3,3 % – n’apparaissaient que sur la pig chain, finalement abandonnée, et n’ont jamais rejoint l’historique canonique final. La plupart, une fois soumises à nouveau, se sont révélées invalides en raison d’intervalles de validité expirés ou d’entrées conflictuelles. Les explorateurs de blocs ont eu du mal à interpréter le réseau fracturé, se figeant parfois ou affichant des données contradictoires.
« Cela constitue une grave dégradation du service pour les utilisateurs, mais dans les limites attendues pour un service à très haute disponibilité », a écrit Lanningham. Il a souligné que, malgré la baisse de qualité de service, les fonds sont restés en sécurité et le réseau a continué de progresser tout au long de la crise.
Attaque ou accident ?
L’incident a déclenché une vive controverse autour de l’intention. Hoskinson l’a décrit comme une attaque ciblée par un « opérateur de stake pool mécontent » qui aurait passé des mois à chercher comment nuire au réseau. « C’était une attaque ciblée. Préméditée. Il a probablement fallu plusieurs heures pour comprendre comment la mener… C’était un acte malveillant », a déclaré Hoskinson, ajoutant que le FBI avait été contacté.
Toutefois, l’auteur de la transaction, s’exprimant sous le pseudonyme « Homer J » sur les réseaux sociaux, a présenté un récit différent : « Désolé (je sais que ce mot ne suffit pas vu l’impact de mes actes) les gens de Cardano, c’est moi qui ai mis le réseau en danger par mon action négligente hier soir. C’a commencé comme un défi personnel du type “voyons si je peux reproduire la mauvaise transaction”, puis j’ai été assez stupide » pour la déployer sur le mainnet.
Le timing a éveillé des soupçons : la même anomalie était apparue sur le testnet à peine 24 heures plus tôt, laissant penser que l’exploit avait été testé avant son exécution sur le mainnet.
Rétablissement du réseau par le consensus
Malgré la gravité de l’incident, la réponse de Cardano a démontré la solidité de sa gouvernance décentralisée. Un nœud corrigé était déjà disponible grâce à l’incident sur le testnet. Pendant la nuit, Input Output Global, la Cardano Foundation, Emurgo, Intersect, les exchanges et les opérateurs de stake pools se sont coordonnés via des appels d’urgence pour mettre à jour la version corrigée et suivre la chicken chain plus stricte.
Il n’y a pas eu de rollback au niveau du protocole ni de « redémarrage » centralisé. À mesure que le stake migrait vers les nœuds mis à jour, la production de blocs sur la pig chain ralentissait, tandis que la chicken chain accélérait. Une fois que le fork sain a dépassé le fork empoisonné, les propriétés de finalité probabiliste d’Ouroboros ont fait basculer automatiquement les nœuds vers la chaîne la plus longue et la plus dense.
« C’est la preuve concrète que le consensus de type Nakamoto a fonctionné comme prévu et a fait converger le réseau vers une histoire canonique unique », a soutenu Lanningham. Hoskinson est allé plus loin, estimant que l’incident aurait « tué d’autres chaînes », mais que la conception de Cardano a laissé suffisamment de temps pour une reprise coordonnée.
Leçons et durcissement futur
Hoskinson comme Lanningham ont reconnu les faiblesses sérieuses mises en lumière par l’incident. « Le fait que le bug soit apparu montre un échec de notre rigueur de tests », a concédé Lanningham. La dépendance à cardano-db-sync a laissé l’écosystème « aveugle » lorsque ce composant s’est écrasé à cause de la transaction mal formée. De nombreux opérateurs de stake pools ont mis à jour sans réfléchir eux‑mêmes au choix du fork, se fiant aux recommandations des entités fondatrices.
La feuille de route post‑incident appelle à un fuzzing et à des tests pilotés par la spécification plus robustes, à des protocoles nœud‑vers‑client plus riches permettant aux portefeuilles et aux exchanges de mettre en place des coupe‑circuits basés sur l’état réel du consensus, à une plus grande diversité d’infrastructures de supervision et à une meilleure formation des opérateurs sur le comportement d’Ouroboros sous stress.
Le prix de l’ADA a chuté d’environ 6 % pendant l’incident, sous‑performant la reprise plus large du marché crypto et se négociant actuellement autour de 0,41 $. Ce recul modeste au regard de la gravité de l’incident suggère que les marchés ont vu cet épisode comme un test de la résilience du réseau plutôt que comme un échec fondamental – un test que Cardano a finalement réussi, tout en révélant des domaines nécessitant des améliorations urgentes.
À lire ensuite : Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline