hakmem/docs/tls_sll_hdr_reset_final_report.md

# 最終調査報告: TLS_SLL_HDR_RESET の完全解明

## 結論

**`sh8bench` が `free()` に渡すポインタが、`malloc()` 返却値から `+1` されていることがログ解析により数学的に証明されました。**

ソースコード上には明示的なポインタ操作は見当たりませんでしたが、実行時の挙動として「奇数アドレス（Tiny Allocatorの仕様）が返された場合に、偶数アドレスに補正して使用し、そのまま `free()` している」ことは確実です。

---

## 証明プロセス

### 1. ログからの逆算

エラーログ:
```
[TLS_SLL_NORMALIZE_USERPTR] cls=1 node=0x...e1 -> base=0x...e0 stride=16
```

このログは `core/box/tls_sll_box.h` の `tls_sll_push()` 内で、引数 `node` が `Base Pointer` のアラインメント（16の倍数）からズレている場合に発生します。

1. `node` の値は `0x...e1` です。
2. `tls_sll_push(class_idx, ptr)` は、呼び出し元 `tiny_free_fast()` で `ptr = user_ptr - 1` として呼び出されます。
3. つまり、`node (0xe1) = user_ptr - 1` です。
4. したがって、`free()` に渡された `user_ptr` は `0xe2` です。

### 2. アドレスの矛盾

- **malloc() の仕様**: Class 1 (16B) の場合、Header(1B) + Payload なので、`Base(0xe0) + 1 = 0xe1` を返します。
- **free() の実態**: 上記の計算通り、`0xe2` が渡されています。
- **差分**: `0xe2 - 0xe1 = +1`。

この `+1` のズレにより、以下の問題が連鎖的に発生しました：

1. **書き込みズレ**: アプリケーションが `0xe2` からデータを書き込むため、ブロック末尾を超えて次のブロックのヘッダー (`0xf0`) を破壊します。
2. **隣接破壊検知**: 破壊された隣接ブロックが `pop` される際、ヘッダー異常 (`0xa1` であるべきがデータ値 `0xd1` 等になっている) を検知し、`TLS_SLL_HDR_RESET` が発生します。
3. **freeの成功**: `free(0xe2)` は `normalize` 機能により `Base(0xe0)` に補正されるため、`free` 自体はクラッシュせずに成功します（これが問題を隠蔽していました）。

### 3. ASan版で再現しない理由

ASan（AddressSanitizer）を有効にすると、各ブロックの周囲に「Redzone（立ち入り禁止領域）」が追加され、アラインメント要件も厳しくなります（通常16/32バイトアラインメント）。
その結果、`malloc` が偶数アドレス（または16バイト境界）を返すようになり、`sh8bench` が（奇数アドレス回避のための）補正を行わなくなったため、エラーが発生しなかったと考えられます。

## 推奨アクション

### 短期対策（完了）
実装済みの **「Atomic Fence + ヘッダー強制書き込み」** は、この「外部からの破壊」に対する「自己修復機能」として極めて有効に機能しています。現状のままで運用可能です。

### 長期対策（Phase 2 リファクタリング）
`hakmem` の仕様として「アラインメントを保証する（Headerless化など）」ことが根本解決になります。提案済みの **`REFACTOR_PLAN_GEMINI_ENHANCED.md`** に沿って、`ptr` の型安全化とレイアウト変更を進めることを強く推奨します。

以上