Cardano пережив 14-годинний розкол ланцюга: технічні дефекти, суперечки та уроки відновлення

Джерело: Жовтий Оригінальна назва: Мережа Cardano розділилася на дві ланцюги протягом 14 годин під час першого серйозного інциденту з моменту її запуску в 2017 році

Оригінальне посилання:

Огляд подій розподілу ланцюга

Cardano зазнав найсерйознішого технічного збою з моменту свого запуску в 2017 році. Неправильно оформлена транзакція 21 листопада спричинила 14-годинний розкол ланцюга, розділивши блокчейн вартістю 14 мільярдів доларів на два конкурентні форки, що викликало запеклі дебати про те, чи це була навмисна атака, чи невдале тестування.

Цю подію розробники прозвали «Poison Piggy», вона виявила трирічну вразливість у програмному забезпеченні вузлів Cardano, яка призвела до появи двох несумісних версій блокчейну.

Засновник Cardano Чарльз Хоскінсон наполягає на тому, що це була спланована атака, і необхідне втручання ФБР. Але розробник на ім'я «Homer J» публічно визнав відповідальність, стверджуючи, що це була неуважність під час спроби відтворити аномалію тестової мережі в особистому виклику.

Як відбувається форк

Згідно з звітом про події Intersect, розкол ланцюга стався через вразливість серіалізації, яка вперше з'явилася в тестовій мережі Cardano. Хтось надіслав сертифікат делегування з неправильним форматом, хеш якого був занадто великим, що по суті означало делегування до «RATSRATS», а не до «RATS» (пул стейкінгу Хоскінсона).

Старі вузли правильно відхиляли недійсні хеші, тоді як вузли, які виконують код оновлення 2024 року, обрізають їх і вважають дійсними.

Ця різниця у версіях створила дві несумісні ланцюги: «куряча ланцюг», яка виконує більш суворий код перевірки, та «свиняча ланцюг», яка приймає транзакції з помилковим форматом. Близько 3:02 ранку 21 листопада за східним часом США, практично ідентичний делегат з помилковим форматом був надісланий до основної мережі, що призвело до розколу мережі.

Зниження обслуговування та вплив

Аналіз показує, що хоча пошкодження серйозні, вони контрольовані. Протягом 14-годинного вікна pig chain створила 846 блоків, а chicken chain згенерувала близько 13,900 блоків. Через зниження швидкості транзакцій з надійною інфраструктурою затримка досягла приблизно 400 секунд, а в найгіршому випадку час блокування розтягнувся до приблизно 16 хвилин.

У 14 383 спостережуваних транзакціях приблизно 479 транзакцій (3,3%) з'явилися лише на відкинутому pig chain і не потрапили до остаточної історії норм. Більшість з них стали недійсними під час повторної відправки через закінчення терміну дії перевірки або конфліктуючі входи. Блокчейн-браузерам важко пояснити розділену мережу, в деяких випадках вона заморожується або відображає суперечливі дані.

Хоча якість обслуговування постраждала, але кошти залишаються в безпеці, мережа продовжувала працювати протягом усієї кризи.

Атака чи аварія?

Ця подія викликала гострі суперечки щодо намірів. Хоскінсон охарактеризував це як сплановану атаку незадоволених операторів стейкінг-пулів, які протягом кількох місяців шукали спосіб завдати шкоди мережі. Він заявив, що це було передбачуване зловмисне діяння і повідомив про це ФБР.

Однак, особа, яка ініціювала транзакцію, опублікувала в соціальних мережах різний наратив під назвою «Homer J»: все почалося з особистого виклику, спроби відтворити транзакцію з неправильним форматом, але він був достатньо дурний, щоб розгорнути її в основній мережі.

Тимчасові збіги викликали підозри: аналогічні аномалії з'явилися лише 24 години тому в тестовій мережі, що вказує на те, що використання цього вразливості було протестовано до виконання в основній мережі.

Відновлення мережі через консенсус

Попри серйозність події, реакція Cardano продемонструвала його децентралізовану модель управління. У зв'язку з подією тестової мережі, патчовані вузли стали доступними. Увесь вечір Input Output Global, Фонд Cardano, Emurgo, Intersect, біржі та оператори стейкінгових пулів координувалися через термінові дзвінки, оновлювалися до виправленої версії та дотримувалися більш суворого chicken chain.

Відсутня відкат на рівні угод або централізоване «перезавантаження». З переходом прав на нові вузли швидкість генерації блоків на pig chain сповільнюється, тоді як chicken chain прискорюється. Як тільки здоровий форк перевищить заражений форк, ймовірнісна кінцева властивість Ouroboros забезпечує автоматичне переключення вузлів на найдовший та найщільніший ланцюг.

Це доводить, що консенсус Накамото працює так, як і очікувалося, направляючи мережу до єдиної нормативної історії.

Уроки та посилення на майбутнє

Хоскінсон та аналітики визнають, що ця подія виявила серйозні слабкості. Поява вразливостей сама по собі є провалом у тестуванні на строгість. Залежність від cardano-db-sync робить екосистему «сліпою у польоті», коли цей компонент зазнає краху через некоректні транзакції. Багато операторів пулів стейкінгу не виконували незалежний аналіз вибору розгалуження, а покладалися на рекомендації базових сутностей для оновлень.

Пропозиція дорожньої карти після подій включає проведення більш потужного тестування на надійність та тестування на основі специфікацій, дозволяючи гаманцям і біржам реалізувати більш розвинений протокол вузлів-клієнтів на основі справжнього стану консенсусу, більшу різноманітність моніторингової інфраструктури, а також кращу освіту операторів щодо того, як Ouroboros поводиться під навантаженням.

Ціна ADA впала приблизно на 6% під час події, що є гіршим показником порівняно з відновленням загального ринку криптовалют, наразі торгується за ціною близько 0,41 долара. Помірне падіння відносно серйозності події вказує на те, що ринок розглядав цю подію як свідчення стійкості мережі, а не як фундаментальний збій. Cardano врешті-решт пройшов це випробування, хоча виявив області, які потребують термінового вдосконалення.