Cardano doświadczyło najpoważniejszego zakłócenia technicznego od uruchomienia w 2017 r., gdy błędnie sformowana transakcja wywołała 14‑godzinny podział łańcucha 21 listopada, dzieląc warte 14 mld dol. blockchain na konkurujące forki i wywołując gorącą dyskusję, czy zdarzenie stanowiło celowy atak, czy nieudaną próbę testu.
Incydent – nazwany przez deweloperów „Poison Piggy” – ujawnił trzyletni błąd w oprogramowaniu węzłów Cardano, który stworzył dwa niekompatybilne widoki blockchaina.
Podczas gdy założyciel Charles Hoskinson utrzymywał, że był to „zaplanowany atak” wymagający zaangażowania FBI, deweloper znany jako „Homer J” publicznie wziął odpowiedzialność, określając to jako „lekkomyślne działanie” podczas osobistego wyzwania, by odtworzyć anomalię z testnetu.
Jak doszło do forka
Zgodnie z raportem incydentu Intersect, podział łańcucha wynikał z błędu serializacji, który po raz pierwszy pojawił się na preview testnecie Cardano 20 listopada. Ktoś przesłał błędnie sformowany certyfikat delegacji z nadmiernie długim hashem – w praktyce delegując do „RATSRATS” zamiast „RATS” (osobistego stake poola Hoskinsona).
Starsze węzły poprawnie odrzuciły nieprawidłowy hash, podczas gdy węzły uruchamiające kod zaktualizowany w listopadzie 2024 r. obcięły go i uznały za ważny.
Ta różnica wersji stworzyła to, co deweloper blockchain Pi Lanningham opisał w swoim szczegółowym raporcie pokryzysowym jako dwa niekompatybilne łańcuchy: „chicken chain” działający na bardziej rygorystycznym kodzie walidacji oraz „pig chain” akceptujący błędnie sformowaną transakcję. 21 listopada około godz. 3:02 czasu EST niemal identyczna błędna delegacja została przesłana na mainnet, rozdzielając sieć.
Przeczytaj także: Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Degradacja usług i skutki
Analiza Lanninghama ujawnia znaczące, lecz ograniczone szkody. W trakcie 14‑godzinnego okna pig chain wyprodukował 846 bloków, podczas gdy chicken chain wygenerował ok. 13 900 bloków. Włączanie transakcji poprzez rozbudowaną infrastrukturę znacząco zwolniło – opóźnienia sięgały ok. 400 sekund, a czasy tworzenia bloków wydłużały się miejscami do ok. 16 minut.
Z 14 383 zaobserwowanych transakcji 479 – ok. 3,3% – pojawiło się wyłącznie na odrzuconym pig chain i nigdy nie trafiło do ostatecznej historii kanonicznej. Większość z nich, po ponownym przesłaniu, okazała się nieważna z powodu wygasłych przedziałów ważności lub konfliktujących wejść. Eksploratory bloków miały problemy z interpretacją rozbitej sieci, miejscami zawieszały się lub pokazywały sprzeczne dane.
„To stanowi poważną degradację jakości usług dla użytkowników, ale mieszczącą się w oczekiwanych granicach dla usługi o bardzo wysokiej dostępności” – napisał Lanningham. Podkreślił, że choć jakość usług ucierpiała, środki pozostały bezpieczne, a sieć cały czas robiła postępy.
Atak czy wypadek?
Zdarzenie wywołało ostrą kontrowersję wokół intencji. Hoskinson określił je jako ukierunkowany atak „rozgoryczonego operatora stake poola”, który miesiącami szukał sposobów zaszkodzenia sieci. „To był ukierunkowany atak. Zaplanowany. Prawdopodobnie zajęło to kilka godzin, by wymyślić, jak to zrobić… To był złośliwy czyn” – stwierdził Hoskinson, dodając, że skontaktowano się z FBI.
Tymczasem osoba stojąca za transakcją, publikująca jako „Homer J” w mediach społecznościowych, przedstawiła inną narrację: „Przepraszam (wiem, że to słowo nie wystarcza wobec skutków moich działań), społeczność Cardano, to ja naraziłem sieć moim lekkomyślnym działaniem wczoraj wieczorem. Zaczęło się od osobistego wyzwania typu ‘zobaczmy, czy potrafię odtworzyć złą transakcję’, a potem byłem na tyle głupi”, by wdrożyć ją na mainnecie.
Czas zdarzenia budził podejrzenia – ta sama anomalia pojawiła się na testnecie zaledwie 24 godziny wcześniej, co sugeruje, że exploit został przetestowany przed uruchomieniem na mainnecie.
Odzyskanie sieci poprzez konsensus
Pomimo powagi sytuacji reakcja Cardano pokazała siłę jego zdecentralizowanego modelu zarządzania. Dzięki incydentowi na testnecie poprawiona wersja węzła była już dostępna. W nocy Input Output Global, Cardano Foundation, Emurgo, Intersect, giełdy i operatorzy stake pooli koordynowali się na pilnych telekonferencjach, aby zaktualizować się do poprawionej wersji i podążać za bardziej rygorystycznym chicken chain.
Nie było żadnego przywrócenia stanu na poziomie protokołu ani scentralizowanego „restartu”. W miarę jak stake migrował na zaktualizowane węzły, produkcja bloków na pig chain zwalniała, podczas gdy chicken chain przyspieszał. Gdy zdrowy fork wyprzedził zatruty, probabilistyczne własności finalności Ouroboros zapewniły, że węzły automatycznie przełączyły się na dłuższy, gęstszy łańcuch.
„To jest konkretny dowód na to, że konsensus Nakamoto zadziałał zgodnie z założeniami i doprowadził sieć do jednej kanonicznej historii” – argumentował Lanningham. Hoskinson poszedł dalej, sugerując, że ten incydent „zabiłby inne łańcuchy”, ale projekt Cardano dał wystarczająco dużo czasu na skoordynowane odzyskanie.
Wnioski i przyszłe wzmocnienia
Zarówno Hoskinson, jak i Lanningham przyznali, że incydent ujawnił poważne słabości. „Sam fakt, że ten błąd w ogóle się pojawił, jest porażką naszego rygoru testów” – przyznał Lanningham. Poleganie na cardano-db-sync sprawiło, że ekosystem „leciał na ślepo”, gdy ten komponent zawiesił się na błędnej transakcji. Wielu operatorów stake pooli zaktualizowało się, nie analizując samodzielnie wyboru forka, ufając rekomendacjom podmiotów założycielskich.
Plan działań po incydencie zakłada mocniejsze fuzzing i testy oparte na specyfikacji, bogatsze protokoły node-to-client umożliwiające portfelom i giełdom wdrażanie wyłączników bezpieczeństwa opartych na realnym stanie konsensusu, większą różnorodność infrastruktury monitorującej oraz lepszą edukację operatorów na temat zachowania Ouroboros w warunkach stresu.
Cena ADA spadła o ok. 6% podczas incydentu, zachowując się gorzej niż szerszy rynek krypto i obecnie oscylując wokół 0,41 dol. Stosunkowo umiarkowany spadek wobec powagi zdarzenia sugeruje, że rynki potraktowały je jako test odporności sieci, a nie fundamentalną porażkę – test, który Cardano ostatecznie zdało, choć ujawniając obszary wymagające pilnej poprawy.
Czytaj dalej: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline