Un problème technique et une solution mal calculée se combinent pour paralyser le réseau principal de Sui pour la troisième fois.

La Fondation Sui a publié dimanche une analyse post-mortem des trois pannes du réseau principal qui ont mis hors service sa couche 1 les 28 et 29 mai, imputant les deux premiers arrêts à un bug de chargement de gaz introduit par la mise à niveau v1.72 des « soldes d'adresses » et le troisième à une erreur d'état aléatoire distincte exposée lorsque les validateurs ont redémarré pour installer un correctif provisoire que l'équipe admet avoir expédié en sachant qu'il comportait un risque d'arrêt à faible probabilité.

SUI, le jeton natif du réseau, a glissé de 6,6 % dans les 24 heures suivant l'autopsie et de 18,5 % sur sept jours à 0,82 $, ramenant la capitalisation boursière de Sui à 3,31 milliards de dollars, selon CoinGecko. La chaîne détient une valeur totale verrouillée de 479,66 millions de dollars, le treizième parmi les réseaux suivis par DefiLlama, derrière Avalanche et devant Monad. Dimanche, les DEX basés sur Sui ont dégagé 77,33 millions de dollars en volume sur 24 heures, mené par DeepBook V3 à 26,69 millions de dollars.

La semaine dernière, Sui a redémarré après des arrêts consécutifs liés à la même version 1.72. Il s'agit également de l'un des rapports d'incident de couche 1 les plus précis publiés cette année, nommant des chemins de code spécifiques et admettant que le réseau de validation a brièvement fonctionné sur un correctif que les ingénieurs de Mysten Labs savaient susceptible d'échouer.

Le bug qui détruit les gaz

Les deux premiers arrêts sont liés à un coin d'exécution que Sui appelle "gas smashing" - le processus par lequel le moteur d'exécution combine toutes les pièces d'entrée d'une transaction en une seule pièce et la débite pour le gaz, avant que la transaction elle-même ne soit exécutée. La version v1.72 a introduit les « soldes d'adresses », une fonctionnalité qui permet aux utilisateurs de retirer et de déposer simultanément à une seule adresse en émettant des deltas de solde qu'une transaction de règlement du système rapproche chaque bloc.

Le cas extrême, selon la Fondation : lorsqu'une transaction tentait de découvert le solde d'une adresse pour couvrir le gaz, elle était correctement marquée comme annulée avec une erreur "InsufficientFundsForWithdraw" - mais le gas smashing s'exécutait à nouveau sur le même objet de réservation, dépensant des fonds auxquels la transaction venait de lui être dite ne pouvait pas accéder. La couche de règlement a reçu un delta négatif appliqué à un solde nul et les validateurs se sont écrasés. Une fois qu'un bug de crash est dans le pipeline d'entrée, chaque validateur honnête rencontre la même mauvaise entrée et la chaîne s'arrête.

Le patch à risque connu

La solution provisoire de Sui, déployée jeudi pour ramener la chaîne, consistait à arrêter de dépenser du gaz sur les transactions annulées avec « InsufficientFundsForWithdraw ». La Fondation affirme désormais que l'équipe "a accepté le risque associé à cette proposition afin de rétablir le réseau arrêté le plus rapidement possible pendant qu'un correctif robuste était développé". Vendredi matin, le réseau a rencontré une variante du même cas limite et s'est arrêté une deuxième fois. Un deuxième patch a suivi.

La troisième halte est arrivée quelques heures plus tard, au prochain changement d'époque prévu. Les validateurs qui ont redémarré pour adopter le correctif de vendredi n'ont pas réussi à atteindre le seuil de participation pour la génération de clés distribuées de la nouvelle époque – l'étape du protocole qui initialise le caractère aléatoire d'une époque. DKG s'est désactivé de par sa conception, mais un bug latent signifiait que le verdict d'échec n'était jamais écrit sur le disque. Au fur et à mesure des redémarrages, chaque validateur est revenu sans savoir que DKG avait échoué, la file d'attente des transactions dépendantes du hasard s'est agrandie et la logique de fin d'époque s'est arrêtée en attendant un DKG qui ne fonctionnerait jamais. Le correctif permanent a conservé le statut DKG lors des redémarrages et a ajouté un mécanisme de fermeture forcée pour faire converger les validateurs vers une époque bloquée.

Ce qui est décroché

Aucun fonds d'utilisateur n'a été menacé au cours des trois arrêts et aucune transaction engagée n'a été annulée, selon la Fondation. Les incidents n'avaient aucun rapport avec la charge de trafic ni aucun rapport avec un exploit externe, et les transactions sont revenues à une finalité inférieure à la seconde après le troisième redémarrage. La Fondation a également déclaré qu'un agent d'IA interne ayant accès aux journaux du validateur de production "avait accéléré le diagnostic".

La barre de fiabilité

Pour le contexte : le dernier arrêt du réseau principal officiellement confirmé de Solana remonte au 6 février 2024, lorsqu'un bug dans le cache du programme de validation a forcé un redémarrage coordonné d'environ cinq heures. Sui, en comparaison, a été frappé par un bref arrêt en novembre 2024 suite à une tentative de contrôle de la congestion et par un blocage du consensus de six heures en janvier 2026 avant cette dernière exécution.

La Fondation a nommé quatre priorités de remédiation : étendre les modèles de dégradation progressive en « mode sans échec » de Sui au reste du chemin de reconfiguration ; reconstruire la logique de chargement de gaz en une barre de qualité de code comparable à la Move VM ou au protocole de consensus Mysticeti ; élargir le programme d'agent IA de débogage de production ; et l'ajout d'une couche de défense en profondeur qui permettrait à un validateur d'ignorer une entrée provoquant un crash plutôt que d'arrêter la chaîne.

Le PDG de Mysten Labs, Evan Cheng, et le directeur des produits, Adeniyi Abiodun, n'avaient pas publié de commentaires publics sur l'autopsie au moment de la publication. Le Defiant a demandé des commentaires à la Fondation Sui.