Cardano ha subito la sua più grave interruzione tecnica dal lancio nel 2017, quando una transazione malformata ha innescato una divisione della chain di 14 ore il 21 novembre, dividendo la blockchain da 14 miliardi di dollari in fork in competizione e alimentando un intenso dibattito sul fatto che l’episodio costituisse un attacco deliberato o un test andato storto.
L’episodio – soprannominato “Poison Piggy” dagli sviluppatori – ha messo in luce un bug vecchio di tre anni nel software dei nodi di Cardano che ha creato due visioni incompatibili della blockchain.
Mentre il fondatore Charles Hoskinson ha insistito che si sia trattato di un «attacco premeditato» che richiede il coinvolgimento dell’FBI, uno sviluppatore noto come “Homer J” si è pubblicamente assunto la responsabilità, definendolo una “azione negligente” durante una sfida personale per riprodurre un’anomalia emersa sul testnet.
Come è avvenuto il fork
Secondo il rapporto sull’incidente di Intersect, la divisione della chain è emersa da un bug di serializzazione apparso per la prima volta sul testnet di anteprima di Cardano il 20 novembre. Qualcuno ha inviato un certificato di delega malformato con un hash sovradimensionato – in pratica delegando a “RATSRATS” invece che a “RATS” (lo stake pool personale di Hoskinson).
I nodi più vecchi hanno correttamente rifiutato l’hash non valido, mentre i nodi che eseguivano il codice aggiornato nel novembre 2024 lo hanno troncato e trattato come valido.
Questa divergenza di versione ha creato quelle che lo sviluppatore blockchain Pi Lanningham ha descritto nel suo dettagliato rapporto post‑mortem come due chain incompatibili: la “chicken chain”, che eseguiva un codice di validazione più rigoroso, e la “pig chain”, che accettava la transazione malformata. Il 21 novembre, intorno alle 3:02 AM EST, una delega malformata quasi identica è stata inviata alla mainnet, dividendo la rete.
Degrado del servizio e impatto
L’analisi di Lanningham evidenzia danni significativi ma contenuti. Durante la finestra di 14 ore, la pig chain ha prodotto 846 blocchi, mentre la chicken chain ne ha generati circa 13.900. L’inclusione delle transazioni tramite infrastrutture robuste è rallentata drasticamente, con ritardi che hanno raggiunto i 400 secondi e tempi di blocco fino a circa 16 minuti nei momenti peggiori.
Su 14.383 transazioni osservate, 479 – circa il 3,3% – sono apparse solo sulla pig chain poi scartata e non sono mai entrate nella storia canonica finale. La maggior parte di queste, una volta reinviate, si è rivelata non valida a causa di intervalli di validità scaduti o input in conflitto. I block explorer hanno faticato a interpretare la rete frammentata, in alcuni casi bloccandosi o mostrando dati contraddittori.
«Questo rappresenta un grave degrado del servizio per gli utenti, ma entro i limiti attesi per un servizio con disponibilità “high‑nines”», ha scritto Lanningham. Ha sottolineato che, pur essendo peggiorata la qualità del servizio, i fondi sono rimasti al sicuro e la rete ha continuato a fare progressi per tutta la durata della crisi.
Attacco o incidente?
L’episodio ha acceso un feroce dibattito sulle intenzioni. Hoskinson lo ha descritto come un attacco mirato da parte di un «operatore di stake pool scontento» che avrebbe passato mesi a cercare modi per danneggiare la rete. «È stato un attacco mirato. Premeditato. Probabilmente ci sono volute diverse ore per capire come farlo… È stato un atto malevolo», ha dichiarato Hoskinson, aggiungendo che l’FBI è stata contattata.
Tuttavia, la persona dietro la transazione, che si è presentata sui social come “Homer J”, ha offerto una narrazione diversa: «Scusate (so che la parola non basta, dato l’impatto delle mie azioni) gente di Cardano, sono stato io a mettere in pericolo la rete con la mia azione negligente ieri sera. È iniziato come una sfida personale del tipo “vediamo se riesco a riprodurre la transazione difettosa” e poi sono stato abbastanza stupido» da distribuirla in mainnet.
La tempistica ha sollevato sospetti: la stessa anomalia era apparsa sul testnet appena 24 ore prima, suggerendo che l’exploit fosse stato provato prima dell’esecuzione in mainnet.
Recupero della rete tramite consenso
Nonostante la gravità, la reazione di Cardano ha dimostrato la solidità della sua struttura di governance decentralizzata. Una versione corretta del nodo era già disponibile grazie all’incidente sul testnet. Durante la notte, Input Output Global, Cardano Foundation, Emurgo, Intersect, exchange e operatori di stake pool si sono coordinati tramite chiamate di emergenza per aggiornare alla versione corretta e seguire la chicken chain più rigorosa.
Non c’è stato alcun rollback a livello di protocollo né un “riavvio” centralizzato. Con la migrazione dello stake verso i nodi aggiornati, la produzione di blocchi sulla pig chain ha rallentato, mentre la chicken chain ha accelerato. Una volta che il fork sano ha superato quello avvelenato, le proprietà di finalità probabilistica di Ouroboros hanno fatto sì che i nodi passassero automaticamente alla chain più lunga e densa.
«Questa è la prova concreta di quando il consenso di Nakamoto funziona come previsto e fa convergere la rete verso un’unica storia canonica», ha sostenuto Lanningham. Hoskinson si è spinto oltre, suggerendo che l’episodio avrebbe «ucciso altre chain», ma che il design di Cardano ha concesso tempo sufficiente per un recupero coordinato.
Lezioni apprese e rafforzamento futuro
Sia Hoskinson sia Lanningham hanno riconosciuto le gravi debolezze emerse con l’incidente. «Il fatto che il bug sia comparso è di per sé un fallimento del nostro rigore nei test», ha ammesso Lanningham. La dipendenza da cardano‑db‑sync ha lasciato l’ecosistema «volare alla cieca» quando quel componente è andato in crash a causa della transazione malformata. Molti operatori di stake pool hanno aggiornato senza ragionare in modo indipendente sulla scelta del fork, fidandosi delle raccomandazioni delle entità fondatrici.
La roadmap post‑mortem prevede un rafforzamento del fuzzing e dei test basati sulle specifiche, protocolli più ricchi tra nodo e client che permettano a wallet ed exchange di implementare interruttori di emergenza basati sullo stato reale del consenso, maggiore diversificazione dell’infrastruttura di monitoraggio e una migliore formazione per gli operatori su come Ouroboros si comporta sotto stress.
Il prezzo di ADA è sceso di circa il 6% durante l’incidente, sottoperformando rispetto al recupero del mercato cripto più ampio e attestandosi attualmente intorno a 0,41 $. Il calo moderato, rispetto alla gravità dell’evento, suggerisce che i mercati abbiano interpretato l’episodio come un test della resilienza della rete più che come un fallimento fondamentale – un test che Cardano ha in definitiva superato, pur mettendo in luce aree che richiedono miglioramenti urgenti.
Da leggere dopo: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline