Cardano пережила самое серьёзное техническое нарушение с момента запуска в 2017 году, когда 21 ноября некорректная транзакция вызвала 14-часовой раскол цепи, разделив блокчейн стоимостью $14 млрд на конкурирующие форки и спровоцировав ожесточённые споры о том, был ли инцидент преднамеренной атакой или неудачно прошедшим тестовым экспериментом.
Эпизод, получивший от разработчиков название «Poison Piggy», обнаружил трёхлетний баг в программном обеспечении нод Cardano, который создал два несовместимых представления блокчейна.
Пока основатель Чарльз Хоскинсон настаивал, что раскол был «преднамеренной атакой», требующей вмешательства ФБР, разработчик под псевдонимом «Homer J» публично взял на себя ответственность, охарактеризовав произошедшее как «неосторожное действие» во время личного челленджа по воспроизведению аномалии на тестнете.
Как произошёл форк
Согласно отчёту Intersect об инциденте, раскол цепи возник из‑за ошибки сериализации, впервые проявившейся на preview‑тестнете Cardano 20 ноября. Кто‑то отправил некорректный делегационный сертификат с хэшем превышенного размера — по сути, делегировав в «RATSRATS» вместо «RATS» (личного стейк-пула Хоскинсона).
Старые ноды корректно отвергли неверный хэш, в то время как ноды с кодом, обновлённым в ноябре 2024 года, обрезали его и посчитали допустимым.
Эта разница версий создала то, что блокчейн‑разработчик Пай Лэннингем описал в своём подробном отчёте как две несовместимые цепи: «куриную цепь», работающую на более строгой валидации, и «свиную цепь», принимающую некорректную транзакцию. 21 ноября примерно в 3:02 по североамериканскому восточному времени почти идентичная некорректная делегация была отправлена в мейннет, что и раскололо сеть.
Читайте также: Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Ухудшение сервиса и последствия
Анализ Лэннингема показывает значительный, но ограниченный ущерб. В течение 14‑часового окна «свиная» цепь произвела 846 блоков, тогда как «куриная» сгенерировала примерно 13 900 блоков. Включение транзакций через основную инфраструктуру сильно замедлилось: задержки достигали примерно 400 секунд, а интервалы между блоками в худшие моменты растягивались до около 16 минут.
Из 14 383 наблюдавшихся транзакций 479 — примерно 3,3% — появились только в отбракованной «свиной» цепи и так и не вошли в конечную каноническую историю. Большинство из них при повторной отправке оказалось недействительными из‑за истечения интервалов валидности или конфликтующих входов. Блок-эксплореры испытывали трудности с интерпретацией раздробленной сети, местами зависали или показывали противоречивые данные.
«Это серьёзное ухудшение сервиса для пользователей, но в пределах ожидаемых границ для сервиса с высокой доступностью», — написал Лэннингем. Он подчеркнул, что, хотя качество сервиса пострадало, средства пользователей оставались в безопасности, а сеть продолжала продвигаться вперёд на протяжении всего кризиса.
Атака или случайность?
Инцидент разжёг ожесточённый спор о мотивах. Хоскинсон охарактеризовал его как целенаправленную атаку со стороны «недовольного оператора стейк-пула», который месяцами искал способы навредить сети. «Это была целевая атака. Преднамеренная. Вероятно, потребовалось несколько часов, чтобы понять, как её осуществить… Это было злонамеренное действие», — заявил Хоскинсон, добавив, что был установлен контакт с ФБР.
Однако человек, стоявший за транзакцией и выступающий в соцсетях как «Homer J», предложил другую версию: «Простите (я понимаю, что этого слова недостаточно, учитывая последствия моих действий), ребята из Cardano, это я подверг сеть риску своим неосторожным действием вчера вечером. Всё начиналось как личный челлендж в духе “давайте посмотрим, смогу ли я воспроизвести плохую транзакцию”, а затем я оказался достаточно глуп, чтобы» запустить её в мейннете.
Время вызвало подозрения: та же аномалия проявилась на тестнете всего за 24 часа до этого, что наводит на мысль, что эксплойт был опробован перед запуском в основной сети.
Восстановление сети через консенсус
Несмотря на серьёзность происшествия, реакция Cardano показала эффективность её децентрализованного управления. Благодаря инциденту на тестнете исправленная версия ноды уже была доступна. В течение ночи Input Output Global, Cardano Foundation, Emurgo, Intersect, биржи и операторы стейк‑пулов координировались через экстренные созвоны, чтобы обновиться на исправленную версию и следовать более строгой «куриной» цепи.
Протокольного отката или централизованного «рестарта» не последовало. По мере того как стейк мигрировал на обновлённые ноды, производство блоков в «свином» форке замедлялось, тогда как «куриный» ускорялся. Когда здоровый форк обогнал «отравленный», вероятностные свойства финальности Ouroboros обеспечили автоматическое переключение нод на более длинную и плотную цепь.
«Это конкретное доказательство того, как консенсус Накамото сработал так, как и был задуман, и свёл сеть к единой канонической истории», — утверждает Лэннингем. Хоскинсон пошёл дальше, заявив, что подобный инцидент «убил бы другие цепи», но дизайн Cardano дал достаточно времени для скоординированного восстановления.
Уроки и дальнейшее укрепление
И Хоскинсон, и Лэннингем признали серьёзные слабые места, выявленные инцидентом. «Сам факт появления бага — это провал нашей строгости тестирования», — признал Лэннингем. Зависимость от cardano-db-sync оставила экосистему «слепой», когда этот компонент упал из‑за некорректной транзакции. Многие операторы стейк‑пулов обновлялись, не анализируя самостоятельно выбор форка, полагаясь на рекомендации основателей.
В план действий по итогам инцидента входят: усиленное фазз‑тестирование и тестирование, основанное на спецификациях; более богатые протоколы взаимодействия нода‑клиент, позволяющие кошелькам и биржам реализовывать «предохранители» на основе реального состояния консенсуса; большее разнообразие в инфраструктуре мониторинга и лучшее обучение операторов тому, как Ouroboros ведёт себя под нагрузкой.
Цена ADA упала примерно на 6% во время инцидента, отставая от восстановления более широкого крипторынка, и сейчас торгуется около $0,41. Скромное падение по сравнению с серьёзностью события говорит о том, что рынки восприняли инцидент скорее как проверку устойчивости сети, а не как фундаментальный провал — проверку, которую Cardano в итоге прошла, хотя и продемонстрировала области, требующие срочного улучшения.
Читайте далее: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline