Cardano sofreu sua mais grave interrupção técnica desde o lançamento em 2017, quando uma transação malformada acionou uma divisão de cadeia de 14 horas em 21 de novembro, dividindo o blockchain de US$ 14 bilhões em forks concorrentes e desencadeando um intenso debate sobre se o incidente constituiu um ataque deliberado ou um teste que saiu do controle.
O episódio – apelidado de “Poison Piggy” pelos desenvolvedores – expôs um bug de três anos no software de nós da Cardano que criou duas visões incompatíveis do blockchain.
Enquanto o fundador Charles Hoskinson insistiu que a divisão foi um “ataque premeditado” que exigia envolvimento do FBI, um desenvolvedor conhecido como “Homer J” assumiu publicamente a responsabilidade, caracterizando o ocorrido como uma “ação descuidada” durante um desafio pessoal para reproduzir uma anomalia da testnet.
Como o fork aconteceu
De acordo com o relatório de incidente da Intersect, a divisão de cadeia surgiu de um bug de serialização que apareceu pela primeira vez no testnet de preview da Cardano em 20 de novembro. Alguém enviou um certificado de delegação malformado com um hash grande demais – essencialmente delegando para “RATSRATS” em vez de “RATS” (o stake pool pessoal de Hoskinson).
Nós mais antigos rejeitaram corretamente o hash inválido, enquanto nós executando código atualizado em novembro de 2024 o truncaram e o trataram como válido.
Essa diferença de versão criou o que o desenvolvedor de blockchain Pi Lanningham descreveu em seu abrangente relatório pós-incidente como duas cadeias incompatíveis: a “chicken chain”, rodando código de validação mais rígido, e a “pig chain”, aceitando a transação malformada. Em 21 de novembro, por volta das 3h02 EST, uma delegação malformada quase idêntica foi enviada à mainnet, dividindo a rede.
Degradação de serviço e impacto
A análise de Lanningham revela danos significativos, porém contidos. Durante a janela de 14 horas, a pig chain produziu 846 blocos, enquanto a chicken chain gerou aproximadamente 13.900 blocos. A inclusão de transações via infraestrutura robusta desacelerou dramaticamente, com atrasos chegando a cerca de 400 segundos e tempos de bloco se estendendo para cerca de 16 minutos em seu pior momento.
Das 14.383 transações observadas, 479 – aproximadamente 3,3% – apareceram apenas na pig chain descartada e nunca chegaram ao histórico canônico final. A maioria delas, quando reenviadas, mostrou-se inválida devido a intervalos de validade expirados ou entradas conflitantes. Exploradores de blocos tiveram dificuldades para interpretar a rede fraturada, em alguns casos congelando ou exibindo dados contraditórios.
“Isso constitui uma séria degradação de serviço para os usuários, mas dentro dos limites esperados para um serviço com disponibilidade de ‘high nines’”, escreveu Lanningham. Ele enfatizou que, embora a qualidade do serviço tenha sofrido, os fundos permaneceram seguros e a rede continuou progredindo durante toda a crise.
Ataque ou acidente?
O incidente desencadeou forte controvérsia sobre a intenção. Hoskinson o caracterizou como um ataque direcionado por um “operador de stake pool descontente” que passou meses buscando maneiras de prejudicar a rede. “Foi um ataque direcionado. Premeditado. Provavelmente levou várias horas para descobrir como fazer… Foi um ato malicioso”, afirmou Hoskinson, acrescentando que o FBI havia sido contatado.
No entanto, o indivíduo por trás da transação, postando como “Homer J” nas redes sociais, apresentou uma narrativa diferente: “Desculpem (sei que a palavra não é suficiente, dado o impacto das minhas ações), pessoal da Cardano, fui eu quem colocou a rede em risco com minha ação descuidada ontem à noite. Começou como um desafio pessoal de ‘vamos ver se consigo reproduzir a transação ruim’ e então fui burro o bastante” para implantá-la na mainnet.
O timing levantou suspeitas – a mesma anomalia havia surgido na testnet apenas 24 horas antes, sugerindo que o exploit foi testado antes da execução na mainnet.
Recuperação da rede via consenso
Apesar da gravidade, a resposta da Cardano demonstrou sua estrutura de governança descentralizada. Um nó corrigido já estava disponível graças ao incidente na testnet. Durante a noite, Input Output Global, Cardano Foundation, Emurgo, Intersect, corretoras e operadores de stake pool se coordenaram por meio de chamadas de emergência para atualizar para a versão corrigida e seguir a chicken chain mais estrita.
Não houve rollback em nível de protocolo ou “reinício” centralizado. À medida que o stake migrava para nós atualizados, a produção de blocos na pig chain desacelerou enquanto a chicken chain acelerava. Quando o fork saudável ultrapassou o envenenado, as propriedades de finalidade probabilística do Ouroboros garantiram que os nós mudassem automaticamente para a cadeia mais longa e densa.
“Esta é a evidência concreta de quando o consenso de Nakamoto funcionou como pretendido e convergiu a rede para um único histórico canônico”, argumentou Lanningham. Hoskinson foi além, sugerindo que o incidente teria “matado outras cadeias”, mas que o design da Cardano permitiu tempo suficiente para uma recuperação coordenada.
Lições e fortalecimento futuro
Tanto Hoskinson quanto Lanningham reconheceram fragilidades sérias expostas pelo incidente. “O fato de o bug ter aparecido já é uma falha no nosso rigor de testes”, admitiu Lanningham. A dependência do cardano-db-sync deixou o ecossistema “voando às cegas” quando esse componente travou diante da transação malformada. Muitos operadores de stake pool atualizaram sem raciocinar de forma independente sobre a escolha de fork, confiando nas recomendações das entidades fundadoras.
O plano pós-incidente prevê testes mais robustos com fuzzing e especificações formais, protocolos mais ricos de nó para cliente que permitam a carteiras e corretoras implementar circuit breakers com base na saúde real do consenso, maior diversidade na infraestrutura de monitoramento e melhor educação para operadores sobre como o Ouroboros se comporta sob estresse.
O preço de ADA caiu aproximadamente 6% durante o incidente, ficando aquém da recuperação do mercado cripto mais amplo e sendo negociado atualmente em torno de US$ 0,41. A queda modesta em relação à gravidade do evento sugere que os mercados encararam o incidente como um teste de resiliência da rede, e não como uma falha fundamental – um teste que a Cardano, em última análise, passou, embora revelando áreas que exigem melhorias urgentes.
Leia a seguir: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline