Cardano ha subito la sua più grave interruzione tecnica dal lancio nel 2017, quando una transazione malformata ha innescato una divisione della chain di 14 ore il 21 novembre, dividendo la blockchain da 14 miliardi di dollari in fork concorrenti e scatenando un intenso dibattito sul fatto che l’episodio costituisse un attacco deliberato o un test andato storto.
L’episodio – soprannominato “Poison Piggy” dagli sviluppatori – ha messo in luce un bug vecchio di tre anni nel software dei nodi di Cardano che ha creato due viste incompatibili della blockchain.
Mentre il fondatore Charles Hoskinson ha insistito che si trattasse di un «attacco premeditato» che richiedeva il coinvolgimento dell’FBI, uno sviluppatore noto come “Homer J” si è pubblicamente assunto la responsabilità, descrivendolo come un’«azione sconsiderata» durante una sfida personale per riprodurre un’anomalia osservata sul testnet.
Come è avvenuto il fork
Secondo il rapporto sull’incidente di Intersect, la divisione della chain è emersa da un bug di serializzazione apparso per la prima volta sul preview testnet di Cardano il 20 novembre. Qualcuno ha inviato un certificato di delega malformato con un hash sovradimensionato – in pratica delegando a “RATSRATS” invece di “RATS” (lo stake pool personale di Hoskinson).
I nodi più vecchi hanno correttamente rifiutato l’hash non valido, mentre i nodi che eseguivano il codice aggiornato a novembre 2024 lo hanno troncato e trattato come valido.
Questa divergenza di versione ha creato quelle che lo sviluppatore blockchain Pi Lanningham ha descritto nel suo ampio rapporto post–incidente come due chain incompatibili: la “chicken chain”, che eseguiva un codice di validazione più severo, e la “pig chain”, che accettava la transazione malformata. Il 21 novembre, alle circa 3:02 AM EST, una delega malformata quasi identica è stata inviata alla mainnet, dividendo la rete.
Degradazione del servizio e impatto
L’analisi di Lanningham mostra danni significativi ma contenuti. Durante la finestra di 14 ore, la pig chain ha prodotto 846 blocchi, mentre la chicken chain ne ha generati circa 13.900. L’inclusione delle transazioni tramite le infrastrutture robuste è rallentata drasticamente, con ritardi che hanno raggiunto circa 400 secondi e tempi di blocco estesi fino a circa 16 minuti nei momenti peggiori.
Su 14.383 transazioni osservate, 479 – circa il 3,3% – sono apparse solo sulla pig chain poi scartata e non sono mai entrate nella storia canonica finale. La maggior parte di queste, una volta reinviate, è risultata non valida a causa di intervalli di validità scaduti o input in conflitto. I block explorer hanno faticato a interpretare la rete fratturata, in alcuni casi bloccandosi o mostrando dati contraddittori.
«Questo costituisce una seria degradazione del servizio per gli utenti, ma entro i limiti previsti per un servizio con disponibilità “high nines”», ha scritto Lanningham. Ha sottolineato che, sebbene la qualità del servizio sia peggiorata, i fondi sono rimasti al sicuro e la rete ha continuato a fare progressi per tutta la crisi.
Attacco o incidente?
L’episodio ha acceso una feroce controversia sulle intenzioni. Hoskinson lo ha descritto come un attacco mirato da parte di un «operatore di stake pool scontento» che avrebbe passato mesi a cercare modi per danneggiare la rete. «È stato un attacco mirato. Premeditato. Probabilmente ci sono volute diverse ore per capire come farlo… È stato un atto malevolo», ha dichiarato Hoskinson, aggiungendo che era stata contattata l’FBI.
Tuttavia, l’autore della transazione, che si firma “Homer J” sui social, ha offerto una narrazione diversa: «Scusate (so che la parola non basta, dato l’impatto delle mie azioni) gente di Cardano, sono stato io a mettere in pericolo la rete con la mia azione sconsiderata ieri sera. È iniziato come una sfida personale “vediamo se riesco a riprodurre la transazione difettosa” e poi sono stato abbastanza stupido» da distribuirla in mainnet.
Il tempismo ha sollevato sospetti: la stessa anomalia era comparsa su testnet solo 24 ore prima, suggerendo che l’exploit fosse stato provato prima dell’esecuzione in mainnet.
Ripristino della rete tramite consenso
Nonostante la gravità, la risposta di Cardano ha dimostrato la sua struttura di governance decentralizzata. Una versione corretta del nodo era già disponibile grazie all’incidente sul testnet. Durante la notte, Input Output Global, la Cardano Foundation, Emurgo, Intersect, gli exchange e gli operatori di stake pool si sono coordinati tramite call di emergenza per aggiornare alla versione corretta e seguire la chicken chain più rigorosa.
Non c’è stato alcun rollback a livello di protocollo né un «riavvio» centralizzato. Man mano che lo stake migrava verso i nodi aggiornati, la produzione di blocchi sulla pig chain rallentava mentre la chicken chain accelerava. Una volta che il fork sano ha superato quello avvelenato, le proprietà di finalità probabilistica di Ouroboros hanno fatto sì che i nodi passassero automaticamente alla chain più lunga e densa.
«Questa è la prova concreta di quando il consenso Nakamoto ha funzionato come previsto e ha fatto convergere la rete verso una singola storia canonica», ha sostenuto Lanningham. Hoskinson è andato oltre, suggerendo che l’incidente avrebbe «ucciso altre chain», ma che il design di Cardano ha concesso tempo sufficiente per un recupero coordinato.
Lezioni e rafforzamenti futuri
Sia Hoskinson che Lanningham hanno riconosciuto le serie debolezze emerse. «Il fatto che il bug sia comparso è un fallimento del nostro rigore nei test», ha ammesso Lanningham. La dipendenza da cardano-db-sync ha lasciato l’ecosistema «volare alla cieca» quando quel componente è andato in crash sulla transazione malformata. Molti operatori di stake pool hanno aggiornato senza ragionare in modo indipendente sulla scelta del fork, fidandosi delle raccomandazioni delle entità fondatrici.
La roadmap post–incidente prevede un rafforzamento con fuzzing più intenso e test guidati dalle specifiche, protocolli nodo–client più ricchi che consentano a wallet ed exchange di implementare circuit breaker basati sul reale stato del consenso, maggiore diversità dell’infrastruttura di monitoraggio e una migliore formazione per gli operatori su come si comporta Ouroboros sotto stress.
Il prezzo di ADA è sceso di circa il 6% durante l’incidente, sottoperformando la ripresa del mercato cripto più ampio e attestandosi attorno a 0,41 $. Il calo modesto rispetto alla gravità dell’evento suggerisce che i mercati abbiano visto l’episodio come un test della resilienza della rete più che come un fallimento fondamentale – un test che Cardano ha in definitiva superato, pur mettendo in luce aree che richiedono miglioramenti urgenti.
Da leggere dopo: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline