01 12 月 Cardano 遭攻擊事件始末：究竟發生了什麼？

Cardano 於 2025 年 11 月發生的鏈上分叉事件，起因於一筆經過刻意構造的「畸形交易」。這筆交易利用了一個被忽視的反序列化漏洞，導致新舊版本的節點對該交易的有效性產生分歧，進而造成帳本歷史出現兩條平行的版本。儘管區塊產出並未中斷，但網路陷入了數小時的分裂狀態。這導致各大交易所、區塊瀏覽器以及 DeFi 協議的運作受到干擾，用戶也因此面臨交易延遲與數據顯示不一致的問題。此次事件迫使開發團隊緊急發布修補程式，交易所亦暫停了相關充值提領服務，ADA 幣價隨之出現短暫下跌。隨後，事件始作俑者公開致歉，但 Cardano 官方領導層仍將此事定調為可能的「蓄意攻擊」，並表示將請求 FBI 介入調查，此舉引發社群對意圖與責任問題的爭議。除去當下的混亂，此次事件也引發了市場對於驗證機制一致性、節點軟體版本碎片化，以及當開發者疏失被視作法律層面的責任時所帶來的治理隱憂。這些討論正推動社群重新檢視基礎設施的升級以及網路長期韌性的建設，為整個 Cardano 生態帶來更廣泛的省思。

Cardano 是否遭受惡意攻擊？

Cardano 主網於 2025 年 11 月 21 日經歷了一次罕見的鏈上分叉。當時，一筆經過刻意構造的委託交易，觸發了系統內潛伏自 2022 年的反序列化漏洞。較新版本的節點軟體將這筆「畸形交易」視為有效，而舊版節點則正確予以拒絕，導致網路分裂為兩條相互競爭的歷史紀錄：一條包含這筆「受污染」交易，另一條則不包含。儘管兩條分支上的區塊產出均未中斷，網路也未完全停擺，但 Cardano 的帳本實際上在數小時內處於分割狀態，這也是該協議運行八年以來，首度面臨如此重大的共識層級事故。

從技術層面看，此事件揭露了節點軟體在輸入驗證流程上的不一致性。由於這筆畸形交易成功繞過了新版節點的驗證，卻被舊版基礎設施攔截，不同版本的區塊生產者便依據其運行的軟體版本，開始延伸出不同的鏈。值得注意的是，類似問題在前一天的測試網上就曾浮現，暗示攻擊路徑可能已被預先探測。問題確認後，IOG、Cardano 基金會、Intersect 與 EMURGO 的工程團隊隨即啟動緊急應變，在大約三小時內釋出了修補後的節點軟體，並指示營運商升級，促使網路重新收斂至單一權威主鏈。

此次事故於營運面的衝擊在生態系末端尤為明顯。部分交易所暫停了 ADA 的充值提領服務以監測哪條鏈將成為主鏈，導致出入金活動暫時停擺。區塊瀏覽器因試圖追蹤相互衝突的帳本歷史，頻繁出現數據顯示不一致或凍結的情況；DeFi 協議則面臨狀態錯亂的風險，部分合約互動可能僅在一條分支上獲得確認。對用戶而言，這直接造成了交易確認時間拉長、操作間歇性失敗，以及在修補後的節點廣泛更新、共識回穩之前，一般使用者對交易最終性充滿不確定感。

事件後續的人為與治理效應，為整起事故增添了更多複雜性。一位名為「Homer J (AAA)」的 X 用戶公開攬責，聲稱這筆交易只是個人實驗，旨在重現一筆「異常」交易，並宣稱依賴 AI 生成指令且無任何財務動機。然而，Cardano 共同創辦人 Charles Hoskinson 將此事定調為由一位心懷不滿的質押池營運者（SPO）發起的預謀攻擊，並表示已通報 FBI 等執法單位，將此視為嚴肅的網路安全事件而非單純失誤。此一立場導致至少一名 IOG 工程師公開請辭，理由是擔憂未來的開發瑕疵或安全測試可能招致法律風險。與此同時，Cardano 核心組織已著手強化基礎設施與治理機制，包括提議撥付高額 ADA 預算用於關鍵整合，而社群則持續評估此次分叉帶來的技術教訓與聲譽衝擊。

漏洞是如何導致 Cardano 鏈上分叉的？

Cardano 的鏈上分叉源於單一筆經過刻意構造的「畸形委託交易」，該交易利用了一個長期存在的反序列化漏洞。此缺陷存在於 Cardano 節點所使用的底層加密或序列化函式庫中，導致特定的畸形輸入在驗證過程中未能被正確攔截或排除。當這筆特製交易被廣播後，較新版本的節點錯誤地將其視為有效，而舊版節點則正確將其標記為無效。由於兩組節點皆依據各自對帳本的解讀持續產出區塊，網路因此分叉為兩條獨立的鏈：一條包含該畸形交易（「受污染鏈」），另一條則不包含（「健康鏈」）。

這種節點行為的差異，暴露了 Cardano 共識假設中一個細微但關鍵的弱點：所有活躍節點必須在驗證規則上保持完全一致。Cardano 的權益證明共識機制 Ouroboros 預設所有誠實節點都執行完全相同的驗證規則。一旦此假設因軟體版本不一致、未修補的節點或被忽視的漏洞而遭破壞，即使在沒有惡意攻擊者試圖維持分叉的情況下，網路依然可能在不同規則下各自產塊，進而形成不相容的鏈分支。儘管在營運者升級至修補版本後，Cardano 鏈最終重新收斂，但此事件證實了：只要有一筆能繞過部分節點驗證邏輯的異常交易，就足以短暫使網路分裂、影響服務穩定性，並動搖使用者對交易確定性的預期。

長遠來看，此事件引發了關於升級協調、版本碎片化，以及在 Cardano 多客戶端生態系中維持向後相容性等複雜議題的討論。舊版節點拒絕了該畸形交易而新版卻接受的事實，顯示驗證邏輯隨著時間推移產生了偏移。為防止類似情況重演，Cardano 未來需要更嚴格的保證機制，確保所有節點——無論版本為何——都執行相同的驗證規則，或在面臨不確定時能安全地中止運作。這可能需要針對邊界情況（Edge Cases）進行更嚴格的測試、對序列化函式庫實施更強的形式化驗證，或是進行架構調整以減少對舊有程式碼路徑的依賴。此事也突顯出一項風險：多年來旨在改進協議的變更，若未針對所有歷史行為進行審視，可能會無意間製造出不一致性。

此事件對 Cardano 長期前景的影響，主要體現在聲譽與架構兩個層面。在聲譽方面，這是 Cardano 首次發生此類重大事故，導致了交易所暫停充值提領、價格波動，以及公眾對於意圖與歸責的爭論。雖然並未造成資金損失，但除非未來的緩解措施清晰透明，否則交易所、開發者與機構用戶可能會重新評估該網路的營運風險。在架構方面，此事件猶如一場真實世界的壓力測試，揭示了驗證恆定性、治理流程與事件應變機制仍有待成熟之處。若能吸取教訓，透過強化的版本控制、更嚴謹的驗證不變量以及節點營運者間更佳的溝通管道，網路最終將變得更加強韌；反之，此漏洞則揭示了單一畸形交易——無論有意或無意——如何能瞬間干擾一條發展成熟的權益證明區塊鏈，這也為 Cardano 在進一步擴展規模與去中心化的過程中，所需的防護機制立下了新的標準。

Cardano 未來該如何防範此類漏洞重演？

要避免鏈分裂事件再度發生，Cardano 必須同時強化技術防護與開發流程。問題的根源顯示，節點在所有版本中都必須更嚴格且一致地拒絕異常輸入。未來的升級需在技術堆疊的多個層面上，導入更嚴格且統一的驗證規則，確保新舊節點對交易有效性的判斷完全一致。這意味著需廣泛採用不變量檢查、針對格式異常輸入的模糊測試（Fuzz-testing），以及對關鍵序列化與帳本規則組件進行形式化驗證，以便在正式部署前，而非實際運行中，就能識別出潛在的不一致性。

同樣重要的是改善 Cardano 處理節點行為分歧的方式。此次分叉之所以持續數小時，是因為不同版本的節點對同一筆交易做出了不同處理。為避免類似情境，Cardano 或許需要更強的「版本協調機制」，包括對過期節點設定明確的淘汰時程、對非支援軟體的營運者發出自動警示，甚至引入共識層級的保護措施，防止少數版本的客戶端產出不相容區塊。此外，強化網路韌性還可能涉及整合自動化的「安全模式」（Safe-mode）響應：當帳本狀態出現衝突時，節點可暫時停止出塊或拒絕傳播可疑交易，直到基於共識門檻（Quorum-based）的檢查確認出權威解讀為止。

提升安全文化與測試流程也至關重要。本次被利用的漏洞自 2022 年便已存在，這顯示 Cardano 需要更深度的安全審查週期、對抗性測試（Adversarial Testing），以及在更廣泛條件下進行強制性的測試網驗證。進行協調式「紅隊演練」（Red Team Exercises）、針對帳本邏輯的獨立審計，以及系統性地嘗試製造格式異常或破壞邊界（Boundary-breaking）的交易，將有助於在對手或粗心的測試者利用這些漏洞前，先行攔截問題。同時，加強開發環境與生產環境的隔離，並為嘗試潛在有害交易的開發者制定更清晰的準則，將能降低意外干擾主網運作的風險。

最後，Cardano 需完善其事件應變框架。儘管此次緊急修補程式發布迅速，但區塊瀏覽器、DApp 與交易所間的混亂，凸顯了建立更具凝聚力的溝通管道與自動化故障轉移程序的必要性。加強與交易所及基礎設施提供商的合作關係，可確保在異常發生期間協調暫停與恢復服務（如充值提領）。長遠來看，Cardano 可考慮導入協議層級的功能，如加密交易證明（Cryptographic Transaction Attestation）或帳本一致性證明，讓第三方能更可靠地驗證鏈的健康狀態。綜合上述措施，將有助於降低未來分叉風險、提升意外狀況下的韌性，並鞏固市場對其長期穩定性的信心。