Sui признала причины тройного сбоя: баг в газе и рискованный патч

Подзаголовок: Разбор постмортема Sui Foundation: как одно обновление остановило сеть дважды, а «временный» патч — ещё раз

Формат: Deep Dive | Категория: DeFi / Layer 1 Infrastructure

Теги: `Sui` `mainnet outage` `gas bug` `validators` `postmortem` `DeFi reliability` `L1`

Что произошло

Три остановки за два дня: хронология

За 28–29 мая 2025 года сеть Sui останавливалась трижды. Это не рядовой сбой: Sui — тринадцатая по TVL сеть в мире ($479,66 млн по данным DefiLlama), расположенная между Avalanche и Monad. Ежедневный объём DEX в экосистеме составлял $77,33 млн в воскресенье, из которых $26,69 млн пришлось на DeepBook V3. Каждая остановка означала полный паралич транзакций — субсекундная финальность, которую Sui позиционирует как своё конкурентное преимущество, обнулялась.

В воскресенье Sui Foundation опубликовала постмортем. Он примечателен сразу по нескольким причинам: это один из наиболее детальных L1-инцидент-репортов в 2025 году, в котором команда называет конкретные code paths и открыто признаёт, что один из патчей был развёрнут с известным риском повторной остановки.

Баг «gas smashing»: как обновление v1.72 сломало базовый механизм

Чтобы понять первопричину, нужно разобраться в том, как Sui обрабатывает газ.

Что такое gas smashing. В архитектуре Sui перед тем, как транзакция выполнится, среда исполнения объединяет все входящие монеты пользователя в одну и списывает с неё плату за газ. Этот процесс называется «gas smashing». Он происходит до запуска самой транзакции — это важно для понимания того, где именно возник баг.

Что добавил v1.72. Обновление ввело функцию «address balances» — механизм, который позволяет одному адресу одновременно пополняться и тратить средства. Вместо прямых изменений баланса система генерирует дельты (изменения), которые расчётная транзакция примиряет в конце каждого блока.

Где сломалось. Проблема возникла в граничном случае: если транзакция пыталась использовать balance адреса для оплаты газа, но средств не хватало, система корректно помечала транзакцию как отменённую с ошибкой `InsufficientFundsForWithdraw`. Однако затем gas smashing запускался повторно — уже на том же объекте резервирования. Он пытался потратить средства, которые транзакции только что было запрещено использовать.

Расчётный слой получал отрицательную дельту, применённую к нулевому балансу. Валидаторы падали.

Почему цепочка останавливается полностью. Это ключевой системный момент. Как только краш-баг попадает в очередь входящих транзакций, каждый честный валидатор обрабатывает ту же проблемную транзакцию и падает. Механизм консенсуса не может продолжать работу, если участники выходят из строя синхронно — цепочка останавливается целиком.

Известный рисковый патч и третий сбой

Первый патч. Для возобновления работы в четверг команда Mysten Labs развернула промежуточный фикс: gas smashing перестал запускаться на транзакциях, отменённых с ошибкой `InsufficientFundsForWithdraw`. Sui Foundation прямо написала в постмортеме, что «приняла риск, сопровождавший это предложение, чтобы как можно быстрее вернуть остановленную сеть к работе, пока разрабатывалось надёжное решение».

В пятницу утром сеть столкнулась с вариантом того же граничного случая и остановилась снова. Последовал второй патч.

Третий сбой — уже другая природа. Он произошёл в запланированное время смены эпохи. Валидаторы, перезапускавшиеся для применения пятничного патча, не смогли набрать кворум для distributed key generation (DKG) — протокольного шага, который инициализирует рандомность для новой эпохи. DKG отключился по дизайну, однако латентный баг не записал статус этого сбоя на диск.

При последующих перезапусках каждый валидатор поднимался, не зная, что DKG провалился. Очередь транзакций, зависящих от рандомности, росла. Логика конца эпохи зависала в ожидании DKG, который не мог выполниться никогда.

Постоянный фикс добавил персистентность статуса DKG между перезапусками и механизм принудительного закрытия застрявшей эпохи.

Что осталось вне зоны риска

Sui Foundation подтвердила три ключевых момента: пользовательские средства не пострадали ни в одном из трёх инцидентов, ни одна подтверждённая транзакция не была откачена, инциденты не связаны с внешними атаками или нагрузочными проблемами. После третьего перезапуска субсекундная финальность транзакций восстановилась.

Примечательна ещё одна деталь из постмортема: внутренний AI-агент с доступом к production-логам валидаторов «существенно ускорил диагностику» — это редкий случай публичного признания роли ИИ в production-инцидентах L1.

Что планирует исправить команда

Sui Foundation назвала четыре приоритета:

• Расширить паттерн «safe mode» — режим мягкой деградации — на остальные части пути реконфигурации
• Переписать логику gas-charging до уровня качества кода, сопоставимого с Move VM или протоколом консенсуса Mysticeti
• Масштабировать программу AI-агентов для production-диагностики
• Добавить defense-in-depth слой, который позволит валидатору пропускать краш-индуцирующий инпут, а не останавливать цепочку

Рыночная реакция и контекст надёжности

Цифры. SUI торгуется на уровне $0,82, потеряв 6,6% за 24 часа после публикации постмортема и 18,5% за неделю. Рыночная капитализация составляет $3,31 млрд по данным CoinGecko.

Сравнительный контекст. Для сравнения: последний официально подтверждённый сбой мейннета Solana датирован 6 февраля 2024 года — баг в кэше валидатора потребовал скоординированного перезапуска длительностью около пяти часов. У Sui до этого инцидента была кратковременная остановка в ноябре 2024 года (баг в congestion-control assert) и шестичасовой стall консенсуса в январе 2026 года. Тройной сбой в мае — качественно иная ситуация по частоте.