Cardano sofreu sua pior interrupção técnica desde o lançamento em 2017 quando uma transação malformada desencadeou uma divisão de cadeia de 14 horas em 21 de novembro, dividindo o blockchain de US$ 14 bilhões em forks concorrentes e provocando intenso debate sobre se o incidente constituiu um ataque deliberado ou um teste malsucedido.
O episódio – apelidado de “Poison Piggy” pelos desenvolvedores – expôs um bug de três anos no software de nós da Cardano que criou duas visões incompatíveis do blockchain.
Enquanto o fundador Charles Hoskinson insistiu que a divisão foi um “ataque premeditado” exigindo envolvimento do FBI, um desenvolvedor conhecido como “Homer J” assumiu publicamente a responsabilidade, caracterizando o evento como uma “ação descuidada” durante um desafio pessoal para reproduzir uma anomalia da testnet.
Como o fork aconteceu
Segundo o relatório de incidente da Intersect, a divisão da cadeia surgiu de um bug de serialização que apareceu primeiro na preview testnet da Cardano em 20 de novembro. Alguém enviou um certificado de delegação malformado com um hash grande demais – essencialmente delegando para “RATSRATS” em vez de “RATS” (o stake pool pessoal de Hoskinson).
Nós mais antigos rejeitaram corretamente o hash inválido, enquanto nós rodando código atualizado em novembro de 2024 o truncaram e o trataram como válido.
Essa diferença de versão criou o que o desenvolvedor de blockchain Pi Lanningham descreveu em seu relatório pós-incidente como duas cadeias incompatíveis: a “chicken chain”, rodando código de validação mais rigoroso, e a “pig chain”, aceitando a transação malformada. Em 21 de novembro, por volta de 3h02 EST, uma delegação malformada quase idêntica foi enviada à mainnet, dividindo a rede.
Degradação de serviço e impacto
A análise de Lanningham revela danos significativos, mas contidos. Durante a janela de 14 horas, a pig chain produziu 846 blocos, enquanto a chicken chain gerou aproximadamente 13.900 blocos. A inclusão de transações via infraestrutura robusta desacelerou dramaticamente, com atrasos chegando a cerca de 400 segundos e tempos de bloco se estendendo para cerca de 16 minutos nos piores momentos.
Das 14.383 transações observadas, 479 – aproximadamente 3,3% – apareceram apenas na pig chain descartada e nunca entraram no histórico canônico final. A maioria delas, ao ser reenviada, mostrou-se inválida devido a intervalos de validade expirados ou entradas conflitantes. Exploradores de blocos tiveram dificuldades para interpretar a rede fraturada, em alguns casos congelando ou exibindo dados contraditórios.
“Isso constitui uma degradação séria de serviço para os usuários, mas dentro dos limites esperados para um serviço com alta disponibilidade”, escreveu Lanningham. Ele enfatizou que, embora a qualidade do serviço tenha sofrido, os fundos permaneceram seguros e a rede continuou progredindo durante toda a crise.
Ataque ou acidente?
O incidente desencadeou forte controvérsia sobre a intenção. Hoskinson o caracterizou como um ataque direcionado por um “operador de stake pool descontente” que teria passado meses procurando maneiras de prejudicar a rede. “Foi um ataque direcionado. Premeditado. Provavelmente levou várias horas para descobrir como fazer… Foi um ato malicioso”, afirmou Hoskinson, acrescentando que o FBI foi contatado.
Entretanto, o indivíduo por trás da transação, postando como “Homer J” nas redes sociais, ofereceu uma narrativa diferente: “Desculpem (sei que a palavra não é suficiente, dado o impacto das minhas ações), pessoal da Cardano, fui eu quem colocou a rede em risco com minha ação descuidada ontem à noite. Começou como um desafio pessoal de ‘vamos ver se consigo reproduzir a transação ruim’ e então fui burro o bastante” para implantá-la na mainnet.
O timing levantou suspeitas – a mesma anomalia havia aparecido na testnet apenas 24 horas antes, sugerindo que o exploit foi testado antes da execução na mainnet.
Recuperação da rede via consenso
Apesar da gravidade, a resposta da Cardano demonstrou sua estrutura de governança descentralizada. Um nó corrigido já estava disponível graças ao incidente na testnet. Durante a madrugada, a Input Output Global, a Cardano Foundation, a Emurgo, a Intersect, corretoras e operadores de stake pool coordenaram-se por meio de chamadas de emergência para atualizar para a versão corrigida e seguir a chicken chain mais rigorosa.
Não houve rollback em nível de protocolo nem um “restart” centralizado. À medida que o stake migrava para os nós atualizados, a produção de blocos na pig chain desacelerou, enquanto a chicken chain acelerou. Quando o fork saudável ultrapassou o envenenado, as propriedades de finalidade probabilística do Ouroboros garantiram que os nós mudassem automaticamente para a cadeia mais longa e densa.
“Esta é a evidência concreta de quando o consenso de Nakamoto funcionou como pretendido e convergiu a rede para um único histórico canônico”, argumentou Lanningham. Hoskinson foi além, sugerindo que o incidente teria “matado outras cadeias”, mas que o design da Cardano permitiu tempo suficiente para uma recuperação coordenada.
Lições e fortalecimento futuro
Tanto Hoskinson quanto Lanningham reconheceram fragilidades sérias expostas pelo incidente. “O fato de o bug ter aparecido já é uma falha no nosso rigor de testes”, admitiu Lanningham. A dependência do cardano-db-sync deixou o ecossistema “voando às cegas” quando esse componente travou na transação malformada. Muitos operadores de stake pool atualizaram sem raciocinar de forma independente sobre a escolha de fork, confiando nas recomendações das entidades fundadoras.
O plano pós-incidente pede fuzzing e testes orientados por especificação mais fortes, protocolos nó‑cliente mais ricos, permitindo que carteiras e corretoras implementem disjuntores baseados na real saúde do consenso, maior diversidade na infraestrutura de monitoramento e melhor educação para operadores sobre como o Ouroboros se comporta sob estresse.
O preço de ADA caiu cerca de 6% durante o incidente, tendo desempenho inferior à recuperação mais ampla do mercado cripto e sendo negociado em torno de US$ 0,41. A queda modesta em relação à gravidade sugere que o mercado viu o episódio como um teste de resiliência da rede, e não como uma falha fundamental – um teste que a Cardano acabou passando, embora revelando áreas que exigem melhoria urgente.
Leia em seguida: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline