Cardano sofreu sua mais grave interrupção técnica desde o lançamento em 2017 quando uma transação malformada desencadeou uma divisão de cadeia de 14 horas em 21 de novembro, dividindo o blockchain de US$ 14 bilhões em forks concorrentes e provocando intenso debate sobre se o incidente constituiu um ataque deliberado ou um teste mal-executado.
O episódio — apelidado de “Poison Piggy” pelos desenvolvedores — expôs um bug de três anos no software dos nodes da Cardano que criou duas visões incompatíveis do blockchain.
Enquanto o fundador Charles Hoskinson insistiu que a divisão foi um “ataque premeditado” que exige envolvimento do FBI, um desenvolvedor conhecido como “Homer J” assumiu publicamente a responsabilidade, caracterizando o ocorrido como uma “ação descuidada” durante um desafio pessoal para reproduzir uma anomalia da testnet.
Como o fork aconteceu
De acordo com o relatório de incidente da Intersect, a divisão de cadeia surgiu de um bug de serialização que apareceu pela primeira vez na testnet de preview da Cardano em 20 de novembro. Alguém enviou um certificado de delegação malformado com um hash grande demais — basicamente delegando para “RATSRATS” em vez de “RATS” (o stake pool pessoal de Hoskinson).
Nodes mais antigos rejeitaram corretamente o hash inválido, enquanto nodes executando código atualizado em novembro de 2024 o truncaram e o trataram como válido.
Essa diferença de versões criou o que o desenvolvedor de blockchain Pi Lanningham descreveu em seu relatório pós-incidente como duas cadeias incompatíveis: a “chicken chain”, executando código de validação mais rígido, e a “pig chain”, aceitando a transação malformada. Em 21 de novembro, por volta de 3h02 no horário da Costa Leste dos EUA, uma delegação malformada quase idêntica foi enviada à mainnet, dividindo a rede.
Degradação de serviço e impacto
A análise de Lanningham aponta danos significativos, porém contidos. Durante a janela de 14 horas, a pig chain produziu 846 blocos enquanto a chicken chain gerou aproximadamente 13.900 blocos. A inclusão de transações via infraestrutura robusta desacelerou drasticamente, com atrasos chegando a cerca de 400 segundos e tempos de bloco se estendendo para cerca de 16 minutos nos piores momentos.
Das 14.383 transações observadas, 479 — cerca de 3,3% — apareceram apenas na pig chain descartada e nunca chegaram ao histórico canônico final. A maior parte delas, quando reenviadas, mostrou-se inválida devido a intervalos de validade expirados ou inputs conflitantes. Explorers de blocos enfrentaram dificuldades para interpretar a rede fraturada, em alguns casos travando ou exibindo dados contraditórios.
“Isso constitui uma degradação séria de serviço para os usuários, mas ainda dentro dos limites esperados para um serviço com disponibilidade de ‘nove-noves’”, escreveu Lanningham. Ele enfatizou que, embora a qualidade do serviço tenha sofrido, os fundos permaneceram seguros e a rede continuou progredindo durante toda a crise.
Ataque ou acidente?
O incidente acendeu uma forte controvérsia sobre a intenção. Hoskinson o caracterizou como um ataque direcionado por um “operador de stake pool descontente” que passou meses procurando maneiras de prejudicar a rede. “Foi um ataque direcionado. Premeditado. Provavelmente levou várias horas para descobrir como fazer… Foi um ato malicioso”, afirmou Hoskinson, acrescentando que o FBI foi contatado.
No entanto, o indivíduo por trás da transação, publicando como “Homer J” nas redes sociais, ofereceu uma narrativa diferente: “Desculpa (sei que a palavra não é suficiente dado o impacto das minhas ações), pessoal da Cardano, fui eu quem colocou a rede em risco com minha ação descuidada ontem à noite. Começou como um desafio pessoal de ‘vamos ver se consigo reproduzir a transação ruim’ e então eu fui burro o bastante” para implantá-la na mainnet.
O timing levantou suspeitas — a mesma anomalia havia aparecido na testnet apenas 24 horas antes, sugerindo que o exploit foi testado antes da execução na mainnet.
Recuperação da rede via consenso
Apesar da gravidade, a resposta da Cardano demonstrou sua estrutura de governança descentralizada. Um node corrigido já estava disponível graças ao incidente na testnet. Durante a noite, a Input Output Global, a Cardano Foundation, a Emurgo, a Intersect, corretoras e operadores de stake pool coordenaram-se por meio de chamadas de emergência para atualizar para a versão corrigida e seguir a chicken chain mais estrita.
Não houve rollback em nível de protocolo nem um “restart” centralizado. À medida que o stake migrava para nodes atualizados, a produção de blocos na pig chain desacelerou enquanto a chicken chain acelerou. Quando o fork saudável ultrapassou o envenenado, as propriedades de finalidade probabilística do Ouroboros garantiram que os nodes alternassem automaticamente para a cadeia mais longa e densa.
“Esta é a evidência concreta de quando o consenso de Nakamoto funcionou como pretendido e convergiu a rede para um único histórico canônico”, argumentou Lanningham. Hoskinson foi além, sugerindo que o incidente teria “matado outras cadeias”, mas que o design da Cardano permitiu tempo suficiente para uma recuperação coordenada.
Lições e fortalecimento futuro
Tanto Hoskinson quanto Lanningham reconheceram fraquezas sérias expostas pelo incidente. “O fato de o bug ter aparecido já é uma falha no nosso rigor de testes”, admitiu Lanningham. A dependência do cardano-db-sync deixou o ecossistema “voando às cegas” quando esse componente travou diante da transação malformada. Muitos operadores de stake pool atualizaram sem raciocinar de forma independente sobre a escolha de fork, confiando nas recomendações das entidades fundadoras.
O roadmap pós-incidente prevê fuzzing mais forte e testes guiados por especificação, protocolos mais ricos de node-para-cliente permitindo que carteiras e corretoras implementem disjuntores baseados na saúde real do consenso, maior diversidade na infraestrutura de monitoramento e melhor educação para operadores sobre como o Ouroboros se comporta sob estresse.
O preço do ADA caiu cerca de 6% durante o incidente, com desempenho abaixo da recuperação mais ampla do mercado cripto e sendo negociado atualmente em torno de US$ 0,41. A queda modesta em relação à gravidade sugere que o mercado viu o incidente como um teste de resiliência da rede, e não como uma falha fundamental — um teste que a Cardano acabou passando, embora revelando áreas que exigem melhorias urgentes.
Leia a seguir: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline