O post-mortem da Fundação Sui vincula duas das três interrupções a um caso extremo no recurso de equilíbrio de endereços v1.72, e a terceira a um bug de estado aleatório exposto por uma correção provisória que a equipe enviou sabendo que apresentava risco de interrupção.
A Fundação Sui publicou no domingo um post-mortem sobre as três interrupções da rede principal que derrubaram sua Camada 1 em 28 e 29 de maio, fixando as duas primeiras paradas em um bug de carregamento de gás introduzido pela atualização de “saldos de endereço” v1.72 e a terceira em uma falha de estado de aleatoriedade separada exposta quando os validadores reiniciaram para instalar uma correção provisória que a equipe admite ter enviado sabendo que carregava um risco de parada de baixa probabilidade.
SUI, o token nativo da rede, caiu 6,6% nas 24 horas após a autópsia e caiu 18,5% em sete dias, para US$ 0,82, reduzindo a capitalização de mercado de Sui para US$ 3,31 bilhões, por CoinGecko. A rede detém US$ 479,66 milhões em valor total bloqueado, a décima terceira maior entre as redes monitoradas pela DefiLlama, atrás da Avalanche e à frente da Monad. DEXs baseados em Sui liquidaram US$ 77,33 milhões em volume de 24 horas no domingo – liderados pelo DeepBook V3 em US$ 26,69 milhões.
Na semana passada, Sui reiniciou após paradas consecutivas vinculadas à mesma versão 1.72. É também um dos relatórios de incidentes de Camada 1 mais granulares publicados este ano, nomeando caminhos de código específicos e admitindo que a rede do validador foi executada brevemente em uma correção que os engenheiros do Mysten Labs sabiam que poderia falhar.
O bug destruidor de gás
As duas primeiras paradas remontam a um canto da execução que Sui chama de “gas smashing” – o processo pelo qual o tempo de execução combina todas as moedas de entrada de uma transação em uma única moeda e debita o gás, antes que a transação em si seja executada. A versão v1.72 introduziu “saldos de endereço”, um recurso que permite aos usuários sacar e depositar em um único endereço simultaneamente, emitindo deltas de saldo que uma transação de liquidação do sistema reconcilia cada bloco.
O caso extremo, de acordo com a Fundação: quando uma transação tentou saque a descoberto de um saldo de endereço para cobrir o gás, ela foi corretamente marcada como cancelada com um erro `InsufficientFundsForWithdraw` – mas a destruição do gás foi executada novamente no mesmo objeto de reserva, gastando fundos que a transação acabara de ser informada de que não poderia acessar. A camada de liquidação recebeu um delta negativo aplicado a um saldo zero e os validadores travaram. Uma vez que um bug de falha está no pipeline de entrada, todo validador honesto atinge a mesma entrada incorreta e a cadeia para.
O patch de risco conhecido
A solução provisória de Sui, implantada na quinta-feira para trazer a rede de volta, foi parar de executar a destruição de gás em transações canceladas com `InsufficientFundsForWithdraw`. A Fundação diz agora que a equipe “aceitou o risco que acompanha esta proposta, a fim de trazer de volta a rede interrompida o mais rápido possível, enquanto uma correção robusta era desenvolvida”. Na manhã de sexta-feira, a rede atingiu uma variante do mesmo caso extremo e parou pela segunda vez. Um segundo patch se seguiu.
A terceira parada chegou horas depois, na próxima mudança de época programada. Os validadores que reiniciaram a adoção do patch de sexta-feira não conseguiram atingir o limite de participação para a geração de chave distribuída da nova época – a etapa do protocolo que inicializa a aleatoriedade para uma época. O DKG se desativou intencionalmente, mas um bug latente fez com que o veredicto de falha nunca fosse gravado no disco. À medida que se seguiram novas reinicializações, cada validador voltou sem saber que o DKG havia falhado, a fila de transações dependentes da aleatoriedade cresceu e a lógica de fim de época parou de esperar por um DKG que nunca seria executado. A correção permanente manteve o status DKG durante as reinicializações e adicionou um mecanismo de fechamento forçado para convergir validadores em uma época travada.
O que está fora do gancho
Nenhum fundo de usuário esteve em risco nas três paradas e nenhuma transação comprometida foi revertida, de acordo com a Fundação. Os incidentes não tiveram relação com a carga de tráfego nem com uma exploração externa, e as transações retornaram à finalidade inferior a um segundo após a terceira reinicialização. A Fundação também disse que um agente interno de IA com acesso aos logs do validador de produção “diagnóstico materialmente acelerado”.
A barra de confiabilidade
Para contextualizar: a última interrupção da rede principal oficialmente confirmada de Solana foi em 6 de fevereiro de 2024, quando um bug no cache do programa validador forçou uma reinicialização coordenada de aproximadamente cinco horas. Sui, em comparação, foi atingido por uma breve interrupção em novembro de 2024 devido a uma declaração de controle de congestionamento e por uma paralisação de consenso de seis horas em janeiro de 2026, antes desta última execução.
A Fundação nomeou quatro prioridades de remediação: estender os padrões de degradação graciosa do “modo de segurança” de Sui ao resto do caminho de reconfiguração; reconstruir a lógica de carregamento de gás para uma barra de qualidade de código comparável ao Move VM ou ao protocolo de consenso Mysticeti; ampliar o programa de agentes de IA para depuração de produção; e adicionar uma camada de defesa profunda que permitiria que um validador ignorasse uma entrada que induzisse uma falha em vez de interromper a cadeia.
O CEO da Mysten Labs, Evan Cheng, e o diretor de produtos, Adeniyi Abiodun, não postaram comentários públicos sobre a autópsia até a publicação. O Defiant solicitou comentários da Fundação Sui.
Fontesthedefiant
