Cardano : Hoskinson explique en détail l’attaque "Poison Piggy"

Contenu éditorial de confiance, examiné par des experts de l’industrie et des éditeurs chevronnés. Divulgation publicitaire Cardano vient de traverser l’un des incidents techniques les plus graves de son histoire : une scission de la chaîne de 14 heures que le fondateur Charles Hoskinson insiste pour qualifier de « sérieuse, mais pas existentielle ». Lors d’un livestream fin novembre, il a guidé les spectateurs à travers le rapport « Poison Piggy – After Action Report » de Pi Lanningham, une analyse détaillée de ce qui s’est passé le 21 novembre 2025 et de ce que cela signifie pour le récit de longue date de Cardano sur « zéro interruption ».

Au cœur de la panne de la Pig-Chain de 14 heures de Cardano

Selon Lanningham, un bug de sérialisation dans l’implémentation du nœud Cardano a créé les conditions d’un soft fork unidirectionnel. Le problème est apparu pour la première fois le 20 novembre sur le testnet preview, lorsqu’un certificat de délégation malformé a été accepté par certains nœuds et rejeté par d’autres. Les nœuds plus anciens ont correctement rejeté le hash trop long ; les nœuds plus récents, à cause d’un changement de code en novembre 2024, l’ont tronqué et considéré comme valide. Cette divergence de versions a créé deux visions incompatibles de la chaîne.

« Toute la raison d’être du testnet est d’être un espace sûr » pour trouver ces défaillances, a noté Hoskinson. Dans des circonstances normales, le bug aurait été corrigé et déployé discrètement. Au lieu de cela, après l’identification de la correction et pendant sa communication aux opérateurs de pools de staking, une délégation malformée quasi identique a été soumise au mainnet, cette fois en déléguant à RATSRATS – doublant conceptuellement le ticker de RATS, le pool de staking de Hoskinson lui-même.

Lecture associée : L’attaque Cardano déclenche un clash : Hoskinson invoque les fédéraux, le chef de Solana s’y opposeCette transaction a scindé le mainnet Cardano en deux forks. Le fork le plus strict, utilisant l’ancien code qui rejetait le hash malformé, est devenu la « chicken chain ». Le fork permissif qui l’a accepté a été baptisé « pig chain » ou « poison piggy ». À partir de là, le réseau est entré dans une course : la transaction empoisonnée sur la pig chain deviendrait-elle immuable avant que la chicken chain ne la dépasse ?

En termes d’impact, les chiffres de Lanningham sont sans appel. Cardano est resté en ligne mais dégradé. L’inclusion des transactions via une infrastructure robuste a ralenti de manière spectaculaire, avec des délais allant jusqu’à environ 400 secondes et des temps de bloc sur la chaîne dominante atteignant environ 16 minutes dans le pire des cas. Sur la période de l’incident, 846 blocs ont été produits sur la pig chain et environ 13 900 sur la chicken chain. Sur 14 383 transactions observées, 479 – soit environ 3,3 % – n’ont été incluses que sur la pig chain abandonnée et ne sont jamais apparues dans l’historique canonique final. La plupart d’entre elles, une fois soumises à nouveau, se sont révélées invalides à cause d’intervalles de validité expirés ou d’inputs conflictuels.

« Cela constitue une dégradation sérieuse du service pour les utilisateurs, mais reste dans les limites attendues pour une disponibilité de service “cinq-neuf” », a écrit Lanningham. Son bilan est concis : « La chaîne a-t-elle continué à progresser ? Oui. Le service a-t-il été dégradé ? Oui. Les fonds étaient-ils en danger ? Potentiellement. Le réseau Cardano s’est-il rétabli dans des conditions essentiellement extrêmes ? Oui. Aurais-je confiance à bâtir mon entreprise sur une infrastructure démontrant un tel niveau de robustesse ? Oui. »

La récupération elle-même est brandie par Hoskinson comme la preuve à la fois de la décentralisation et du design. Un nœud corrigé était déjà disponible grâce à l’incident sur le testnet ; pendant la nuit, IOG, la Fondation Cardano, Emurgo, Intersect, les exchanges et de nombreux SPO se sont coordonnés via des war rooms et des canaux de discussion pour mettre à jour la version corrigée et suivre la chicken chain la plus restrictive. Il n’y a eu aucun rollback au niveau du protocole et aucun « redémarrage » centralisé. À mesure que les stakes migraient, la production de blocs sur la pig chain a ralenti, celle sur la chicken chain s’est accélérée, et les propriétés de finalité probabiliste d’Ouroboros ont assuré qu’une fois que le fork sain a dépassé le fork empoisonné, les nœuds sur la pig chain ont automatiquement basculé vers la chaîne la plus longue et la plus dense.

Lecture associée : Le fondateur de Cardano révèle la roadmap du lancement de Midnight« C’est la preuve concrète que le consensus Nakamoto a fonctionné comme prévu et a fait converger le réseau vers un seul historique canonique », a argumenté Lanningham. Hoskinson va plus loin, affirmant : « Cela aurait pu tuer d’autres chaînes », mais ici « le temps fonctionne différemment dans un système distribué » et a effectivement étendu la fenêtre de rollback en faveur de Cardano.

Leçons à tirer

Tous deux cependant s’accordent sur le revers de la médaille. « Le fait que le bug soit apparu est un échec de notre rigueur de test », a concédé Lanningham. La dépendance de presque tous les explorateurs à cardano-db-sync a laissé l’écosystème « aveugle » lorsque ce composant a crashé sur la transaction malformée. De nombreux SPO ont probablement mis à jour « à l’aveugle », faisant confiance aux recommandations des entités fondatrices plutôt qu’en raisonnant eux-mêmes sur le choix du fork. Et certains systèmes off-chain – notamment les exchanges et bridges – ont été exposés à des risques de replay et de double dépense, même si les premiers indices suggèrent que les pertes réelles sont peu probables.

L’analyse post-mortem fait donc aussi office de feuille de route. Lanningham appelle à un renforcement du fuzzing et des tests pilotés par les spécifications, à des protocoles node-to-client plus riches pour que les portefeuilles et exchanges puissent mettre en œuvre des coupe-circuits basés sur la santé réelle du consensus, à plus de diversité dans les outils de monitoring, et à une meilleure formation des SPO sur le comportement d’Ouroboros sous stress. Hoskinson, de son côté, a proposé l’idée d’un « sentinelle de mise à jour » basé sur l’IA pour les opérateurs et a relancé la demande d’un canal pub/sub intégré pour les alertes d’urgence.

Pour la guerre narrative au sens large, la position de Lanningham est volontairement détachée : « Si, après ça, vous décidez que Cardano “est tombé”, je ne vous en tiendrai pas rigueur. Je ne suis pas attaché à cette étiquette… Ce qui compte, c’est l’impact. » Hoskinson est moins diplomate, rejetant la plupart des commentaires sur les réseaux sociaux comme du bruit. Ce qu’il veut que l’industrie retienne est plus simple : le 24 novembre 2025, après Poison Piggy, Cardano est revenu à une seule chaîne – et la prochaine phase de renforcement a déjà commencé.

Au moment de la publication, l’ADA s’échangeait à 0,4141 $.

ADA reste à un niveau critique, graphique sur 1 semaine | Source : ADAUSDT sur TradingView.com Image à la une créée avec DALL.E, graphique provenant de TradingView.com Processus éditorial de bitcoinist : fournir un contenu approfondi, précis et impartial. Nous appliquons des normes de sourcing strictes, et chaque page est soigneusement revue par notre équipe d’experts technologiques et d’éditeurs chevronnés. Ce processus garantit l’intégrité, la pertinence et la valeur de notre contenu pour nos lecteurs.