Cardano ha appena attraversato uno degli incidenti tecnici più gravi della sua storia: una rottura della catena di 14 ore che il fondatore Charles Hoskinson ha definito "grave, ma non esistenziale". In una diretta streaming di fine novembre, ha illustrato agli spettatori il "Poison Piggy – After Action Report" di Pi Lanningham, un'autopsia dettagliata su quanto accaduto il 21 novembre 2025 e cosa significhi per la narrativa "senza tempi di inattività" di lunga data di Cardano.
Dentro il crollo della catena di approvvigionamento di Cardano durato 14 ore
Secondo Lanningham, un bug di serializzazione nell'implementazione dei nodi di Cardano ha creato le condizioni per un soft fork unidirezionale. Il problema è emerso per la prima volta il 20 novembre sulla testnet di anteprima, quando un certificato di delega malformato è stato accettato da alcuni nodi e rifiutato da altri. I nodi più vecchi hanno correttamente rifiutato l'hash troppo lungo; i nodi più recenti, a causa di una modifica al codice del novembre 2024, lo hanno troncato e lo hanno trattato come valido. Questa distorsione di versione ha creato due viste incompatibili della catena.
"L'unica ragione per cui la testnet esiste è quella di essere uno spazio sicuro" per individuare questi errori, ha osservato Hoskinson. In circostanze normali, il bug sarebbe stato corretto e distribuito silenziosamente. Invece, dopo che la correzione è stata identificata ed era in fase di comunicazione agli operatori dello stake pool, una delega malformata quasi identica è stata inviata alla mainnet, questa volta delegando a RATSRATS – raddoppiando concettualmente il ticker di RATS, lo stake pool di Hoskinson.
Quella transazione divise la mainnet di Cardano in due fork. Il fork più restrittivo, che eseguiva codice più vecchio che rifiutava l'hash malformato, divenne la "chicken chain". Il fork permissivo che lo accettò fu battezzato "pig chain" o "poison piggy". Da quel momento, la rete entrò in una gara: la transazione avvelenata sulla pig chain sarebbe diventata immutabile prima che la chicken chain potesse superarla?
All'impatto, i numeri di Lanningham sono bruschi. Cardano è rimasto attivo, ma in condizioni di degrado. L'inclusione delle transazioni tramite un'infrastruttura robusta ha subito un drastico rallentamento, con ritardi fino a circa 400 secondi e tempi di blocco sulla catena ora dominante che si sono estesi fino a circa 16 minuti nel peggiore dei casi. Durante la finestra temporale dell'incidente, sono stati prodotti 846 blocchi sulla catena pig e circa 13.900 sulla catena chicken. Delle 14.383 transazioni osservate, 479 – circa il 3,3% – sono state incluse solo sulla catena pig scartata e non sono mai apparse nella cronologia canonica finale. La maggior parte di queste, una volta reinviate, si è rivelata non valida a causa di intervalli di validità scaduti o input contrastanti.
"Ciò costituisce un grave degrado del servizio per gli utenti, ma entro i limiti previsti per una disponibilità del servizio di altissimo livello", ha scritto Lanningham. La sua checklist di sintesi è concisa: "La catena ha continuato a progredire? Sì. Il servizio è stato degradato? Sì. I fondi erano a rischio? Potenzialmente. La rete Cardano si è ripresa nelle condizioni essenzialmente peggiori? Sì. Avrei avuto fiducia nel costruire la mia attività su un'infrastruttura che ha mostrato questo livello di robustezza? Sì."
Il ripristino stesso viene sostenuto da Hoskinson come prova sia della decentralizzazione che della progettazione. Un nodo patchato era già disponibile grazie all'incidente della testnet; durante la notte, IOG, la Cardano Foundation, Emurgo, Intersect , gli exchange e molti SPO si sono coordinati tramite chiamate di war-room e canali chat per aggiornare alla versione corretta e seguire la chicken chain più restrittiva. Non c'è stato alcun rollback a livello di protocollo né un "riavvio" centralizzato. Con la migrazione dello stake, la produzione di blocchi sulla pig chain è rallentata, la chicken chain ha accelerato e le proprietà di finalità probabilistica di Ouroboros hanno garantito che, una volta che la fork sana ha superato quella avvelenata, i nodi sulla pig chain sono passati automaticamente alla chain più lunga e densa.
"Questa è la prova concreta di quando il consenso di Nakamoto ha funzionato come previsto e ha fatto convergere la rete verso un'unica cronologia canonica", ha sostenuto Lanningham. Hoskinson si è spinto oltre, affermando: "Questo avrebbe potuto distruggere altre catene", ma qui "il tempo funziona diversamente in un sistema distribuito" e ha di fatto allungato la finestra di rollback a favore di Cardano.
Lezioni apprese
Entrambi, tuttavia, sono chiari riguardo al lato negativo. "Il fatto stesso che il bug sia comparso è un fallimento del nostro rigore nei test", ha ammesso Lanningham. L'affidamento di quasi tutti gli explorer a cardano-db-sync ha lasciato l'ecosistema "alla cieca" quando quel componente si è bloccato a causa della transazione malformata. Molti SPO hanno probabilmente effettuato l'aggiornamento "alla cieca", fidandosi delle raccomandazioni delle entità fondatrici piuttosto che ragionare in modo indipendente sulla scelta del fork. E alcuni sistemi off-chain, in particolare exchange e bridge, sono stati esposti al rischio di replay e doppia spesa, anche se le prime prove suggeriscono che le perdite reali sono improbabili.
L'analisi post-mortem funge quindi anche da tabella di marcia. Lanningham chiede fuzzing più efficaci e test basati sulle specifiche, protocolli node-to-client più completi in modo che wallet ed exchange possano implementare interruttori di circuito basati su un reale consenso, una maggiore diversità negli stack di monitoraggio e una migliore formazione per gli SPO sul comportamento di Ouroboros sotto stress. Hoskinson, da parte sua, ha lanciato l'idea di una "sentinella di aggiornamento" basata sull'intelligenza artificiale per gli operatori e ha rilanciato le richieste di un canale pub/sub integrato per gli avvisi di emergenza.
Per quanto riguarda la più ampia guerra narrativa, la posizione di Lanningham è volutamente distaccata: "Se, dopo questo, deciderai da solo che Cardano è 'fallito', non ti negherò la tua opinione. Non sono un tipo da etichette… Ciò che conta è l'impatto". Hoskinson è meno diplomatico, liquidando la maggior parte dei commenti sui social media come rumore di fondo. Ciò che vuole che l'industria capisca è più semplice: il 24 novembre 2025, dopo Poison Piggy, Cardano tornerà a una sola catena – e la sua prossima iterazione di rafforzamento è già iniziata.
Al momento della stampa, ADA era quotata a 0,4141 dollari.
