Cardano は、2017年のローンチ以来最も深刻な技術的障害に見舞われました。不正な形式のトランザクションにより、11月21日に14時間にわたるチェーンスプリットが発生し、時価総額140億ドル規模のブロックチェーンが競合するフォークに分裂しました。この出来事は、意図的な攻撃だったのか、それともテストの失敗だったのかを巡る激しい議論を巻き起こしました。
この一件は開発者によって「Poison Piggy(毒の貯金箱)」と名付けられ、Cardano ノードソフトウェアに3年前から存在していたバグを露呈しました。このバグにより、ブロックチェーンに対する互換性のない二つの見方が生じました。
一方で創設者の Charles Hoskinson 氏は、このスプリットはFBIの関与を要する「計画的な攻撃」だったと主張しましたが、「Homer J」と名乗る開発者が公に責任を認め、自身の行為を「テストネットの異常を再現しようとする個人的なチャレンジ中の『不注意な行動』」と表現しました。
フォークはどのように発生したのか
Intersect のインシデントレポートによると、このチェーンスプリットは、11月20日にCardanoのプレビュー用テストネットで初めて表面化したシリアライゼーションバグに端を発します。誰かが過大なハッシュを持つ不正な委任証明書を送信し、本来「RATS」(ホスキンソン氏の個人ステークプール)に委任すべきところを、実質的に「RATSRATS」へ委任する形になっていました。
旧バージョンのノードはこの不正なハッシュを正しく拒否した一方で、2024年11月に更新されたコードを実行していたノードはハッシュを切り詰めて有効とみなしました。
このバージョンの不一致により、ブロックチェーン開発者のPi Lanningham 氏が詳細な事後分析レポートで説明したように、互換性のない二つのチェーンが生まれました。より厳格な検証コードを実行する「chicken chain(チキンチェーン)」と、不正トランザクションを受け入れる「pig chain(ピッグチェーン)」です。11月21日午前3時2分頃(米東部時間)に、これとほぼ同一の不正な委任がメインネットに送信され、ネットワークが分裂しました。
サービス低下と影響
Lanningham 氏の分析によれば、被害は大きかったものの限定的でした。14時間の期間中、ピッグチェーンは846ブロックを生成し、チキンチェーンは約13,900ブロックを生成しました。堅牢なインフラを通じたトランザクションの取り込みは大幅に遅延し、遅延時間は最大約400秒に達し、最悪時のブロックタイムは約16分まで伸びました。
観測された14,383件のトランザクションのうち、479件(約3.3%)は破棄されたピッグチェーン上にしか現れず、最終的な正史には含まれませんでした。これらの多くは再送信されると、有効期限切れの有効期間や入力の競合により無効であることが判明しました。ブロックエクスプローラーも分裂したネットワークの解釈に苦しみ、一部ではフリーズしたり、矛盾したデータを表示したりしました。
「これはユーザーにとって深刻なサービス低下に相当するが、高可用性サービスとして想定される範囲内だ」とLanningham 氏は記しました。同氏は、サービス品質は損なわれたものの、資金は安全に保たれ、危機の間もネットワークは進捗を続けたと強調しました。
攻撃か事故か?
このインシデントは、その意図をめぐって激しい論争を引き起こしました。ホスキンソン氏は、数か月にわたりネットワークを傷つける方法を探していた「不満を持つステークプールオペレーター」による標的型攻撃だと位置付けました。「これは標的型の攻撃であり、計画的だった。実行方法を見つけるのに数時間はかかったはずだ……悪意ある行為だった」と述べ、FBIに連絡したと付け加えました。
しかし、そのトランザクションを送信した当人は、SNS上で"Homer J" として別の説明を示しました。「申し訳ありません(私の行為の影響を考えると、この言葉だけでは十分でないのは分かっています)。カルダノコミュニティのみなさん。昨日の夜、私の不注意な行動によってネットワークを危険にさらしたのは私です。『問題のトランザクションを再現できるか試してみよう』という個人的なチャレンジとして始まり、その後、愚かにもそれをメインネットにデプロイしてしまいました」と述べました。
このタイミングには疑念も生じました。同じ異常がその24時間前にテストネット上で発生していたため、メインネットでの実行前にエクスプロイトが試された可能性が示唆されたのです。
コンセンサスによるネットワーク回復
深刻な事態ではあったものの、カルダノの対応はその分散型ガバナンス構造を示すことになりました。テストネットでのインシデントのおかげで、修正済みのノードはすでに用意されていました。一晩のうちに、Input Output Global、Cardano Foundation、Emurgo、Intersect、取引所、ステークプールオペレーターらが緊急通話で連携し、修正バージョンへのアップグレードと、より厳格なチキンチェーンの追従を進めました。
プロトコルレベルのロールバックや中央集権的な「再起動」は行われませんでした。ステークがアップグレード済みノードへ移行するにつれ、ピッグチェーン側のブロック生成は減速し、チキンチェーンは加速しました。健全なフォークが「毒された」フォークを追い抜くと、Ouroboros の確率的ファイナリティ特性により、ノードは自動的により長く密度の高いチェーンへと切り替わりました。
「これは、ナカモトコンセンサスが意図した通りに機能し、ネットワークを単一の正史へと収束させたという具体的証拠だ」とLanningham 氏は主張しました。ホスキンソン氏はさらに踏み込み、このインシデントは「他のチェーンなら致命傷になっていただろう」が、カルダノの設計により協調的な復旧のための十分な時間が確保されたと示唆しました。
教訓と将来の強化
ホスキンソン氏とLanningham 氏の双方が、このインシデントで露呈した重大な弱点を認めました。「このバグがそもそも発生したこと自体、我々のテストの厳格さが不足していた証拠だ」とLanningham 氏は認めました。cardano-db-sync への依存により、そのコンポーネントが不正トランザクションでクラッシュした際、エコシステム全体が「目隠し飛行」の状態に陥ったことも明らかになりました。多くのステークプールオペレーターは、フォーク選択を自ら検証することなく、創業組織からの推奨を信頼してアップグレードを行っていました。
事後のロードマップでは、より強力なファジングと仕様駆動型テスト、ウォレットや取引所が実際のコンセンサス健全性に基づいたサーキットブレーカーを実装できるようにする、より豊かなノード・クライアント間プロトコル、モニタリングインフラの多様化、そしてストレス下でのOuroboros の挙動についてオペレーターをより良く教育することが求められています。
ADA の価格はインシデント中に約6%下落し、より広い暗号資産市場の回復に対してアンダーパフォームし、現在は約0.41ドルで取引されています。この深刻さに比して下落幅が限定的だったことは、市場がこの出来事をネットワークのレジリエンスを試すテストと見なし、根本的な失敗とは捉えなかったことを示唆しています。ただし、カルダノが最終的にこのテストには合格した一方で、緊急に改善が必要な領域が浮き彫りになったことも事実です。
次に読む: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline