Cardano столкнулась с самым серьезным техническим сбоем с момента запуска в 2017 году, когда некорректная транзакция спровоцировала 14‑часовой раскол цепи 21 ноября, разделив блокчейн стоимостью $14 млрд на конкурирующие форки и вызвав жаркие споры о том, был ли инцидент преднамеренной атакой или неудачным тестом.
Этот эпизод, получивший среди разработчиков название «Poison Piggy», обнажил трехлетний баг в ПО ноды Cardano, который создал два несовместимых представления блокчейна.
Пока основатель Чарльз Хоскинсон настаивал, что это была «предумышленная атака», требующая участия ФБР, разработчик под псевдонимом «Homer J» публично взял на себя ответственность, назвав произошедшее «небрежным действием» во время личного челленджа по воспроизведению аномалии на тестнете.
Как произошел форк
Согласно отчету о инциденте Intersect, раскол цепи возник из‑за бага сериализации, который впервые проявился на preview‑тестнете Cardano 20 ноября. Кто‑то отправил некорректный делегационный сертификат с чрезмерно длинным хэшем — по сути, делегировав на «RATSRATS» вместо «RATS» (личного стейк‑пула Хоскинсона).
Более старые ноды корректно отклонили некорректный хэш, тогда как ноды с кодом, обновленным в ноябре 2024 года, усекли его и приняли как валидный.
Несогласованность версий породила то, что блокчейн‑разработчик Пай Ланнингем описал в своем подробном постмортеме как две несовместимые цепи: «chicken chain» со строгой валидацией и «pig chain», принимающую некорректную транзакцию. 21 ноября примерно в 3:02 по восточному времени аналогичная по форме делегация была отправлена в mainnet, что и разделило сеть.
Читайте также: Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Снижение качества сервиса и последствия
Анализ Ланнингема показывает значительный, но локализованный ущерб. В течение 14‑часового окна «pig chain» произвела 846 блоков, тогда как «chicken chain» — около 13 900. Включение транзакций через устойчивую инфраструктуру сильно замедлилось: задержки достигали примерно 400 секунд, а интервалы между блоками в пике растягивались до ~16 минут.
Из 14 383 наблюдаемых транзакций 479 — около 3,3% — существовали только в отброшенной «pig chain» и не попали в окончательную каноническую историю. Большинство из них при повторной отправке оказалось невалидным из‑за истекших интервалов валидности или конфликтующих входов. Блок‑эксплореры испытывали трудности с интерпретацией расколотой сети, местами зависали или показывали противоречивые данные.
«Это является серьезным ухудшением качества сервиса для пользователей, но все же укладывается в ожидаемые границы для сервиса с доступностью на уровне “девяток”», — написал Ланнингем. Он подчеркнул, что, несмотря на падение качества сервиса, средства оставались в безопасности и сеть продолжала прогрессировать на протяжении кризиса.
Атака или случайность?
Инцидент вызвал ожесточенный спор о мотивации. Хоскинсон охарактеризовал его как целенаправленную атаку «недовольного оператора стейк‑пула», который месяцами искал способ навредить сети. «Это была целевая атака. Предумышленная. Вероятно, потребовалось несколько часов, чтобы понять, как это сделать… Это был злонамеренный акт», — заявил Хоскинсон, добавив, что с ФБР уже связались.
Однако автор транзакции, выступающий под ником «Homer J» в соцсетях, предложил иную версию: «Простите (я понимаю, что этого слова недостаточно, учитывая последствия моих действий), ребята из Cardano, это я подверг сеть риску своим небрежным действием вчера вечером. Все началось как личный челлендж “давайте посмотрим, смогу ли я воспроизвести неправильную транзакцию”, а затем я оказался достаточно глуп, чтобы» отправить ее в mainnet.
Время инцидента усилило подозрения: та же аномалия появилась на тестнете всего за 24 часа до этого, что наводит на мысль, что эксплойт был опробован до запуска в основной сети.
Восстановление сети через консенсус
Несмотря на серьезность, реакция Cardano продемонстрировала ее децентрализованную структуру управления. Патченая версия ноды уже была доступна благодаря инциденту на тестнете. Ночью Input Output Global, Cardano Foundation, Emurgo, Intersect, биржи и операторы стейк‑пулов координировались через экстренные созвоны, чтобы обновиться до исправленной версии и следовать более строгой «chicken chain».
Протокольного отката или централизованного «рестарта» не было. По мере миграции стейка на обновленные ноды производство блоков в «pig chain» замедлялось, а «chicken chain» ускорялась. Когда здоровый форк обогнал «отравленный», вероятностная финальность Ouroboros обеспечила автоматическое переключение нод на более длинную и плотную цепь.
«Это конкретное доказательство того момента, когда консенсус Накамото сработал как задумано и свел сеть к единой канонической истории», — утверждал Ланнингем. Хоскинсон пошел дальше, заявив, что подобный инцидент «убил бы другие сети», но архитектура Cardano дала достаточно времени для скоординированного восстановления.
Уроки и дальнейшее укрепление
И Хоскинсон, и Ланнингем признали серьезные уязвимости, вскрывшиеся в ходе инцидента. «Тот факт, что баг вообще проявился, — это провал нашей строгости тестирования», — признал Ланнингем. Зависимость от cardano-db-sync оставила экосистему «летать вслепую», когда этот компонент упал на некорректной транзакции. Многие операторы стейк‑пулов обновились, не проводя самостоятельного анализа выбора форка, а просто доверившись рекомендациям учредительных структур.
План действий по итогам инцидента предусматривает усиление fuzz‑тестирования и тестирования, основанного на спецификациях, более богатые протоколы node-to-client, позволяющие кошелькам и биржам внедрять «аварийные выключатели» на основе реального состояния консенсуса, большее разнообразие мониторинговой инфраструктуры и лучшее обучение операторов тому, как ведет себя Ouroboros под нагрузкой.
Цена ADA упала примерно на 6% во время инцидента, показав результат хуже, чем восстановление более широкого крипторынка, и сейчас торгуется около $0,41. Относительно умеренное падение по сравнению с масштабом проблемы говорит о том, что рынки восприняли происходящее скорее как тест устойчивости сети, чем как фундаментальный провал — тест, который Cardano в итоге прошла, хотя и выявив области, требующие срочного улучшения.
Читайте далее: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline