Cardano sofreu sua mais severa interrupção técnica desde o lançamento em 2017, quando uma transação malformada desencadeou uma divisão de cadeia de 14 horas em 21 de novembro, dividindo o blockchain de US$ 14 bilhões em bifurcações concorrentes e provocando intenso debate sobre se o incidente constituiu um ataque deliberado ou um teste malsucedido.
O episódio – apelidado de "Poison Piggy" pelos desenvolvedores – expôs um bug de três anos no software de nós da Cardano que criou duas visões incompatíveis do blockchain.
Enquanto o fundador Charles Hoskinson insistiu que a divisão foi um “ataque premeditado” que exige envolvimento do FBI, um desenvolvedor conhecido como "Homer J" assumiu publicamente a responsabilidade, caracterizando o evento como uma "ação descuidada" durante um desafio pessoal para reproduzir uma anomalia vista na testnet.
Como o fork aconteceu
De acordo com o relatório de incidente da Intersect, a divisão de cadeia surgiu de um bug de serialização que apareceu pela primeira vez na testnet de preview da Cardano em 20 de novembro. Alguém enviou um certificado de delegação malformado com um hash superdimensionado – essencialmente delegando para "RATSRATS" em vez de "RATS" (o stake pool pessoal de Hoskinson).
Nós mais antigos rejeitaram corretamente o hash inválido, enquanto nós executando código atualizado em novembro de 2024 o truncaram e o trataram como válido.
Essa divergência de versão criou o que o desenvolvedor de blockchain Pi Lanningham descreveu em seu abrangente relatório pós-incidente como duas cadeias incompatíveis: a "chicken chain", executando um código de validação mais rigoroso, e a "pig chain", que aceitava a transação malformada. Em 21 de novembro, por volta das 3h02 EST, uma delegação malformada quase idêntica foi enviada à mainnet, dividindo a rede.
Degradação de serviço e impacto
A análise de Lanningham revela danos significativos, porém contidos. Durante a janela de 14 horas, a pig chain produziu 846 blocos, enquanto a chicken chain gerou aproximadamente 13.900 blocos. A inclusão de transações via infraestrutura robusta desacelerou de forma dramática, com atrasos chegando a cerca de 400 segundos e tempos de bloco se estendendo para cerca de 16 minutos em seu pior momento.
Das 14.383 transações observadas, 479 – aproximadamente 3,3% – apareceram apenas na pig chain descartada e nunca chegaram ao histórico canônico final. A maior parte delas, quando reenviadas, mostrou‑se inválida devido a intervalos de validade expirados ou entradas conflitantes. Exploradores de blocos tiveram dificuldades para interpretar a rede fraturada, em alguns casos travando ou exibindo dados contraditórios.
"Isso constitui uma séria degradação de serviço para os usuários, mas dentro dos limites esperados para um serviço com alta disponibilidade", escreveu Lanningham. Ele enfatizou que, embora a qualidade do serviço tenha sido afetada, os fundos permaneceram seguros e a rede continuou progredindo ao longo da crise.
Ataque ou acidente?
O incidente desencadeou forte controvérsia sobre a intenção. Hoskinson o caracterizou como um ataque direcionado por um “operador de stake pool descontente” que passou meses procurando maneiras de prejudicar a rede. "Foi um ataque direcionado. Premeditado. Provavelmente levou várias horas para descobrir como fazer isso… Foi um ato malicioso", afirmou Hoskinson, acrescentando que o FBI foi contatado.
No entanto, o indivíduo por trás da transação, postando como “Homer J” nas redes sociais, apresentou uma narrativa diferente: "Desculpa (sei que a palavra não é suficiente dado o impacto das minhas ações), pessoal da Cardano, fui eu quem colocou a rede em risco com minha ação descuidada ontem à noite. Começou como um desafio pessoal de 'vamos ver se consigo reproduzir a transação ruim' e então fui burro o suficiente" para implantá‑la na mainnet.
O momento levantou suspeitas – a mesma anomalia havia aparecido na testnet apenas 24 horas antes, sugerindo que o exploit foi testado antes da execução na mainnet.
Recuperação da rede via consenso
Apesar da gravidade, a resposta da Cardano demonstrou sua estrutura de governança descentralizada. Um nó corrigido já estava disponível graças ao incidente na testnet. Durante a madrugada, a Input Output Global, a Cardano Foundation, a Emurgo, a Intersect, corretoras e operadores de stake pool se coordenaram por meio de chamadas de emergência para atualizar para a versão corrigida e seguir a chicken chain mais rigorosa.
Não houve rollback em nível de protocolo nem um "reinício" centralizado. À medida que o stake migrava para nós atualizados, a produção de blocos na pig chain desacelerou, enquanto a chicken chain se acelerou. Quando o fork saudável ultrapassou o fork contaminado, as propriedades de finalidade probabilística do Ouroboros garantiram que os nós mudassem automaticamente para a cadeia mais longa e densa.
"Esta é a evidência concreta de quando o consenso Nakamoto funcionou como pretendido e convergiu a rede para um único histórico canônico", argumentou Lanningham. Hoskinson foi além, sugerindo que o incidente teria "matado outras cadeias", mas que o design da Cardano permitiu tempo suficiente para uma recuperação coordenada.
Lições e endurecimento futuro
Tanto Hoskinson quanto Lanningham reconheceram fraquezas sérias expostas pelo incidente. "O fato de o bug ter aparecido já é uma falha em nosso rigor de testes", admitiu Lanningham. A dependência do cardano-db-sync deixou o ecossistema "voando às cegas" quando esse componente travou ao processar a transação malformada. Muitos operadores de stake pool atualizaram sem raciocinar de forma independente sobre a escolha do fork, confiando nas recomendações das entidades fundadoras.
O roteiro pós‑incidente prevê testes mais robustos com fuzzing e validação orientada por especificação, protocolos mais ricos de nó‑para‑cliente que permitam a carteiras e corretoras implementar mecanismos de desligamento com base na saúde real do consenso, maior diversidade na infraestrutura de monitoramento e melhor educação para operadores sobre como o Ouroboros se comporta sob estresse.
O preço de ADA caiu aproximadamente 6% durante o incidente, com desempenho inferior à recuperação do mercado cripto mais amplo e sendo negociado atualmente em torno de US$ 0,41. A queda modesta em relação à gravidade sugere que os mercados encararam o incidente como um teste de resiliência da rede, e não como uma falha fundamental – um teste que a Cardano acabou passando, embora revelando áreas que exigem melhorias urgentes.
Leia em seguida: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline