Cardano зазнала найбільшого технічного збою від моменту запуску у 2017 році, коли некоректна транзакція спричинила 14-годинний розкол ланцюга 21 листопада, розділивши блокчейн вартістю $14 млрд на конкуруючі форки та розпаливши гостру дискусію, чи був інцидент навмисною атакою чи невдалим тестом.
Епізод, якому розробники дали назву «Poison Piggy», виявив трирічний баг у програмному забезпеченні вузлів Cardano, який створив два несумісні погляди на блокчейн.
Засновник Чарльз Хоскінсон наполягав, що розкол був «спланованою атакою», яка потребує участі ФБР, тоді як розробник під псевдонімом «Homer J» публічно взяв на себе відповідальність, назвавши це «необережною дією» під час особистого челенджу з відтворення аномалії на тестнеті.
Як стався форк
Згідно з звітoм про інцидент Intersect, розкол ланцюга виник через баг серіалізації, який уперше проявився на preview-тестнеті Cardano 20 листопада. Хтось надіслав некоректний делегаційний сертифікат із завеликим хешем — по суті, делегувавши на «RATSRATS» замість «RATS» (особистий стек-пул Хоскінсона).
Старі вузли коректно відхилили невалідний хеш, тоді як вузли з кодом, оновленим у листопаді 2024 року, обрізали його й прийняли як валідний.
Така різниця версій створила те, що блокчейн-розробник Пай Леннінгем описав у своєму розгорнутому звіті як два несумісні ланцюги: «курячий ланцюг» зі строгішою валідацією та «свинячий ланцюг», який прийняв некоректну транзакцію. 21 листопада приблизно о 3:02 за східним часом до мейннету було відправлено майже ідентичну некоректну делегацію, що й спричинило розкол мережі.
Читайте також: Cardano's Hoskinson Calls Fiat System 'Ponzi Scheme', Tells 'Paper Hands' to Hold as Markets Lost $1 Trillion Since October
Погіршення сервісу та наслідки
Аналіз Леннінгема показує суттєве, але контрольоване пошкодження. За 14-годинний період «свинячий» ланцюг згенерував 846 блоків, тоді як «курячий» — приблизно 13 900 блоків. Включення транзакцій через інфраструктуру різко сповільнилося: затримки сягали близько 400 секунд, а час між блоками — до приблизно 16 хвилин у найгірші моменти.
Із 14 383 спостережених транзакцій 479 — близько 3,3% — з’явилися лише в відкинутому «свинячому» ланцюзі й так і не потрапили до фінальної канонічної історії. Більшість із них при повторному надсиланні виявилися невалідними через прострочені інтервали дії або конфліктні вхідні дані. Блокчейн-оглядачі мали труднощі з інтерпретацією розділеної мережі, у деяких випадках «зависали» або показували суперечливі дані.
«Це є серйозним погіршенням якості сервісу для користувачів, але в межах очікуваних для сервісу з високою доступністю», — написав Леннінгем. Він наголосив, що, попри зниження якості обслуговування, кошти залишалися в безпеці, а мережа продовжувала рухатися вперед упродовж усієї кризи.
Атака чи випадковість?
Інцидент спровокував гостру суперечку щодо наміру. Хоскінсон описав його як цільову атаку «незадоволеного оператора стек-пулу», який місяцями шукав спосіб зашкодити мережі. «Це була цільова атака. Спланована. Вона, ймовірно, вимагала кілька годин, щоб зрозуміти, як її здійснити… Це був зловмисний акт», — заявив Хоскінсон, додавши, що ФБР було поінформовано.
Водночас особа, що стоїть за транзакцією, яка виступає в соцмережах як «Homer J», запропонувала іншу версію: «Вибачте (знаю, що цього слова недостатньо з огляду на наслідки моїх дій), спільното Cardano, це я поставив мережу під загрозу своєю необережною дією вчора ввечері. Все почалося як особистий челендж “подивимося, чи зможу я відтворити погану транзакцію”, а потім я був достатньо дурним», щоб застосувати це в мейннеті.
Часовий збіг викликав підозри: та сама аномалія спостерігалася на тестнеті лише за 24 години до цього, що натякає на можливе тестування експлойта перед запуском у мейннеті.
Відновлення мережі через консенсус
Попри серйозність події, реакція Cardano продемонструвала її децентралізовану модель управління. Завдяки інциденту в тестнеті виправлений вузол уже був доступний. Уночі Input Output Global, Cardano Foundation, Emurgo, Intersect, біржі та оператори стек-пулів скоординувалися через екстрені дзвінки, щоб оновитися до виправленої версії та слідувати за «курячим» ланцюгом зі строгішою валідацією.
Протокольного «відкату» чи централізованого «перезапуску» не було. У міру того як стейк переходив на оновлені вузли, виробництво блоків у «свинячому» ланцюзі сповільнювалося, тоді як «курячий» пришвидшувався. Коли здоровий форк обігнав отруєний, властивості ймовірнісної фінальності Ouroboros забезпечили автоматичне перемикання вузлів на довший і щільніший ланцюг.
«Це конкретний доказ того, що консенсус Накамото спрацював так, як задумано, й звів мережу до єдиної канонічної історії», — стверджує Леннінгем. Хоскінсон пішов ще далі, заявивши, що подібний інцидент «убив би інші ланцюги», але дизайн Cardano дав достатньо часу для скоординованого відновлення.
Уроки та посилення на майбутнє
І Хоскінсон, і Леннінгем визнали серйозні слабкі місця, виявлені інцидентом. «Той факт, що баг узагалі з’явився, — це провал нашої суворості тестування», — визнав Леннінгем. Залежність від cardano-db-sync залишила екосистему «сліпою», коли цей компонент упав через некоректну транзакцію. Багато операторів стек-пулів оновлювалися, не роблячи власних висновків щодо вибору форку, а покладаючись на рекомендації засновницьких структур.
План дій після інциденту передбачає посилення fuzz-тестування та тестування, керованого специфікаціями, розширення протоколів «вузол–клієнт», які дозволять гаманцям і біржам реалізувати «аварійні вимикачі» на основі реального стану консенсусу, більшу різноманітність моніторингової інфраструктури й кращу освіту операторів щодо поведінки Ouroboros під навантаженням.
Ціна ADA впала приблизно на 6% під час інциденту, відставши від загального відновлення крипторинку, і наразі торгується близько $0,41. Помірне падіння порівняно з серйозністю події свідчить, що ринки сприйняли інцидент як тест на стійкість мережі, а не як фундаментальний провал — тест, який Cardano врешті-решт пройшла, хоч і виявивши сфери, що потребують термінових покращень.
Читайте далі: Cardano Whales Accumulate $204 Million in Four Days Despite 30% Price Decline