Cardano odnotowało swoje najpoważniejsze zakłócenie techniczne od premiery w 2017 r., gdy 21 listopada zniekształcona transakcja wywołała 14‑godzinny podział łańcucha, dzieląc blockchain o wartości 14 mld dol. na konkurujące forki i wywołując gorącą debatę, czy incydent stanowił celowy atak, czy też nieudany eksperyment testowy.
Epizod – nazwany przez deweloperów „Poison Piggy” – ujawnił trzyletni błąd w oprogramowaniu węzła Cardano, który stworzył dwa niekompatybilne widoki łańcucha bloków.
Podczas gdy założyciel Charles Hoskinson upierał się, że był to „zaplanowany atak” wymagający zaangażowania FBI, deweloper znany jako „Homer J” publicznie przyznał się do odpowiedzialności, określając zdarzenie jako „nieostrożne działanie” podczas osobistego wyzwania polegającego na odtworzeniu anomalii z testnetu.
Jak doszło do forka
Według raportu z incydentu Intersect podział łańcucha wynikał z błędu serializacji, który po raz pierwszy pojawił się na testnecie preview Cardano 20 listopada. Ktoś złożył zniekształcony certyfikat delegacji z przerośniętym hashem – w praktyce delegując do „RATSRATS” zamiast „RATS” (osobistego stake poola Hoskinsona).
Starsze węzły poprawnie odrzucały nieprawidłowy hash, natomiast węzły z kodem zaktualizowanym w listopadzie 2024 r. obcinały go i traktowały jako ważny.
Ta różnica wersji stworzyła – jak Pi Lanningham opisał w swoim szczegółowym raporcie – dwa niekompatybilne łańcuchy: „chicken chain”, działający na bardziej rygorystycznym kodzie walidacji, oraz „pig chain”, akceptujący zniekształconą transakcję. 21 listopada około godz. 3:02 EST na mainnecie złożono niemal identyczną błędną delegację, co rozdzieliło sieć.
Czytaj także: Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Degradacja usług i skutki
Analiza Lanninghama ujawnia znaczne, lecz ograniczone szkody. Podczas 14‑godzinnego okna łańcuch „pig” wyprodukował 846 bloków, podczas gdy „chicken” wygenerował około 13 900 bloków. Przepustowość transakcji przez główną infrastrukturę mocno spadła – opóźnienia sięgały ok. 400 sekund, a czasy bloków wydłużały się do ok. 16 minut w najgorszym momencie.
Z 14 383 zaobserwowanych transakcji 479 – około 3,3% – pojawiło się wyłącznie na odrzuconym łańcuchu „pig” i nigdy nie trafiło do ostatecznej historii kanonicznej. Większość z nich po ponownym złożeniu okazywała się nieprawidłowa z powodu wygasłych interwałów ważności lub konfliktujących wejść. Eksploratory bloków miały trudności z interpretacją rozbitej sieci, miejscami zawieszając się lub pokazując sprzeczne dane.
„To poważna degradacja jakości usługi dla użytkowników, ale mieszcząca się w oczekiwanych granicach dla dostępności na poziomie ‘high‑nines’” – napisał Lanningham. Podkreślił, że choć jakość usług spadła, środki pozostawały bezpieczne, a sieć przez cały kryzys kontynuowała postęp.
Atak czy wypadek?
Incydent wywołał zaciętą dyskusję o intencjach. Hoskinson określił go jako ukierunkowany atak ze strony „rozgoryczonego operatora stake poola”, który miesiącami szukał sposobu na zaszkodzenie sieci. „To był celowy atak. Zaplanowany. Prawdopodobnie zajęło kilka godzin, by wymyślić, jak to zrobić… To było złośliwe działanie” – stwierdził Hoskinson, dodając, że skontaktowano się z FBI.
Tymczasem osoba stojąca za transakcją, występująca jako „Homer J” w mediach społecznościowych, przedstawiła inną wersję: „Przepraszam (wiem, że to słowo nie wystarczy wobec skutków moich działań), społeczność Cardano, to ja naraziłem sieć moją nieostrożną akcją wczoraj wieczorem. Zaczęło się od osobistego wyzwania ‘zobaczmy, czy potrafię odtworzyć złą transakcję’, a potem byłem na tyle głupi”, że wdrożyłem ją na mainnet.
Zbieżność czasowa budziła jednak podejrzenia – ta sama anomalia wystąpiła na testnecie zaledwie 24 godziny wcześniej, co sugeruje, że exploit został sprawdzony przed uruchomieniem na mainnecie.
Odzyskiwanie sieci poprzez konsensus
Pomimo powagi sytuacji reakcja Cardano pokazała siłę zdecentralizowanego zarządzania. Dzięki incydentowi na testnecie poprawiona wersja węzła była już dostępna. W nocy Input Output Global, Cardano Foundation, Emurgo, Intersect, giełdy oraz operatorzy stake pooli skoordynowali się w trybie awaryjnym, aby zaktualizować się do poprawionej wersji i podążać za bardziej rygorystycznym „chicken chain”.
Nie doszło do żadnego cofnięcia na poziomie protokołu ani scentralizowanego „restartu”. W miarę migracji stake’u na zaktualizowane węzły produkcja bloków na łańcuchu „pig” zwalniała, a na „chicken” przyspieszała. Gdy zdrowy fork prześcignął zatruty, probabilistyczna finalność Ouroboros sprawiła, że węzły automatycznie przeszły na dłuższy, gęstszy łańcuch.
„To namacalny dowód, że konsensus Nakamoto zadziałał zgodnie z założeniami i doprowadził sieć do jednej kanonicznej historii” – argumentował Lanningham. Hoskinson poszedł dalej, sugerując, że ten incydent „zabiłby inne łańcuchy”, ale projekt Cardano dał wystarczająco dużo czasu na skoordynowane odzyskiwanie.
Wnioski i dalsze wzmacnianie sieci
Zarówno Hoskinson, jak i Lanningham przyznali, że incydent obnażył poważne słabości. „Sam fakt, że błąd w ogóle się pojawił, oznacza porażkę naszych testów” – przyznał Lanningham. Uzależnienie od cardano-db-sync sprawiło, że ekosystem „leciał na ślepo”, gdy komponent ten uległ awarii po zniekształconej transakcji. Wielu operatorów stake pooli aktualizowało się bez samodzielnej analizy wyboru forka, ufając zaleceniom podmiotów założycielskich.
Plan działań po incydencie zakłada silniejsze fuzz‑testing i testowanie oparte na specyfikacji, bogatsze protokoły node‑to‑client pozwalające portfelom i giełdom wdrażać wyłączniki awaryjne w oparciu o realny stan konsensusu, większą różnorodność infrastruktury monitorującej oraz lepszą edukację operatorów na temat zachowania Ouroboros pod obciążeniem.
Cena ADA spadła o ok. 6% w trakcie incydentu, zachowując się gorzej niż szeroki rynek kryptowalut, i obecnie wynosi około 0,41 dol. Stosunkowo niewielki spadek wobec skali zdarzenia sugeruje, że rynek potraktował je jako test odporności sieci, a nie fundamentalną porażkę – test, który Cardano ostatecznie zdało, choć ujawnił obszary wymagające pilnej poprawy.
Przeczytaj też: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline