Dies ist der größte Service-Abbau für Cardano in seinen 8 Jahren des Betriebs, und als Schlüsselentwickler innerhalb des Cardano-Ökosystems fühlte ich, dass es eine gute Gelegenheit war, darüber nachzudenken, was gut gelaufen ist, und was wir lernen können, um die Robustheit von Cardano noch weiter zu verbessern. Ich habe mich entschieden, eine Karriere und ein Unternehmen auf Cardano aufzubauen.Wenn so etwas passiert, habe ich nicht den Luxus, meine Brust auf Twitter zu schlagen oder in kollektive Dunking zu engagieren. Die Antwort, auf die ich kam, war ja, absolut, mit einigen Hausaufgaben. **What happened \ A serialization bug caused a unidirectional soft-fork: one portion of the nodes rejected a transaction that the rest didn't. This was initially triggered in testnet, likely on accident, and a fix was identified and released quickly. Unfortunately, someone with deep familiarity with Cardano was able to reverse engineer how the transaction was constructed, and submitted it to mainnet. (You may see claims this was "vibe-coded"; that appears to refer to using AI to set firewall rules in an attempt to quarantine the transaction, not the attack itself.) Leider war dies, bevor die Lösung weit verbreitete Annahme erreicht hatte, und so eine Mehrheit der Knoten (diejenigen auf Versionen mit dem Bug) akzeptierte es, während Schlüsselinfrastrukturen wie Brieftaschen, Chain Explorers und Austausch, es abgelehnt. Als Node-Operatoren auf die feste Version aktualisierten, begann die Kette, die die Transaktion abgelehnt hatte, schneller zu wachsen als die, die sie angenommen hatte, und übernahm letztendlich, was zu einer Reorg führte, die die Kette reparierte. Als kleiner Stolzpunkt wurden die Diagnosetools entwickelt, um schnell das Problem zu sortieren, von dem der Code verwendet wurde. Dies war eine gute Validierung unseres Plans, die Implementierungsvielfalt für Cardano zu bringen. \ Real Impact \ In practice, the impact of this chain fork was severe, though not as severe as you might have assumed. The chain continued to produce blocks, and a majority of transactions made it into the surviving fork, though delayed. The monitoring infrastructure run by the CF detected a spike in transaction delays up to 5 minutes, but other users may have seen delays as long as 16-30 minutes, the longest gap between blocks. Some subset of users may also have been unable to submit transactions entirely, though this was due to faulty 3rd party infrastructure that was unable to follow either fork. Ein kleiner Prozentsatz (3,3%, 479 von 14401) Transaktionen machte es in die fehlerhafte Kette, und nicht in die überlebende Kette. **How I think about Blockchain Outages \ I've developed a personal taxonomy for categorizing large outages, from most serious to least: 1. Verletzungen der Souveränität, bei denen die Kernversprechen und Integrität (wie kryptografische Signaturen) einer Blockchain verletzt werden 2. Ledger-Bugs, bei denen die wirtschaftlichen Prinzipien (wie die Geldpolitik) einer Blockchain gebrochen werden 3. Unwiederherstellbare Konsensverletzung, bei der ein Netzwerk dauerhaft forkt 4. Wiederherstellbare Konsensverletzung, bei der ein Netzwerk einen langlebigen Fork hat, sich aber erholt 5. Schwere Smart Contract-Exploit, bei dem Benutzergelder aufgrund eines Bugs im Vertrag verloren gehen 6. Vollständige Konsensstopp, bei dem die Kette gestoppt und neu gestartet werden muss, koordiniert durch eine zentrale Behörde 7. Abbau des Dienstes, bei dem Transaktionen verzögert werden oder den Nutzern falsche Informationen angezeigt werden Der Vorfall Cardano konfrontiert qualifiziert als 4: ernst, aber wiederherstellbar. **What went well \ This incident put Cardano's Ouroboros consensus through its paces: long forks like this are supposed to be exceedingly rare black swan events, but the design of the consensus protocol and networking stack anticipate and account for this. For example, the fact that it was able to self-heal is built into the protocol, and the way time is handled has a self-regulating lamport clock that gave the stake pool operators time to upgrade their nodes. Darüber hinaus blitzte die von den Gründungsunternehmen aufrechterhaltene Berichterstattungs- und Kommunikationsinfrastruktur, da wir das Problem schnell erkennen und breit kommunizieren konnten. Schließlich war es eine großartige Validierung für die Sprachewahl von Cardano. Der spezielle Fehler war mit einigen fehlerhaften Grenzen verbunden, die auf einem Puffer von unzuverlässigen Eingaben überprüft wurden. Der Fehler (wenn nicht dieser speziell) könnte sehr leicht zu einer Verletzung der Souveränität durch Remote-Code-Ausführung oder ähnlich geführt haben. **What broke down \ It became clear from the incident that we need better infrastructure around some wallets, dApps, and chain explorers. Many were unable to follow In einigen Fällen war dies möglicherweise eine Sicherheitsüberlegung, aber in anderen war es nur ein Mangel an defensiver Programmierung, das dieses Szenario voraussagte. Ebenso, vor allem, wenn Cardano in eine Ära der Kundenvielfalt eintritt, ist es klar, dass wir unsere bereits strengen Testkriterien verbessern müssen. Das Niveau der Tests in der aktuellen Node-Implementierung ist phänomenal, aber die gleiche Strenge muss in allen Implementierungen des Nodes verbessert und standardisiert werden. **Conclusion \ Blockchains are not immune to the Es ist in der Regel sicher anzunehmen, dass alle Software ein Netzwerkpaket entfernt ist von einem katastrophalen Zusammenbruch, vorausgesetzt, Sie können nur den richtigen Zauber finden. Amaru Typ auch Überlebensbias Die gleichen Arten von Bugs Glücklicherweise werden die meisten (aber nicht alle) von gewissenhaften Sicherheitsforschern gefunden und fixiert, bevor sie weit verbreitete Auswirkungen verursachen können. Dieser Vorfall war eine Ausnahme und zeigte Bereiche, in denen Cardano sich verbessern kann und gleichzeitig seine Stärken demonstriert. Von Pi Lanningham, Chief Technology Officer bei SundaeSwap Labs. Von Pi Lanningham, Chief Technology Officer bei SundaeSwap Labs. SundeeSwap Labs
