Ethereum : Les portes dérobées menacent-elles vraiment la sécurité des rollups ?
Il y a quelques semaines, nous avons publié un article qui portait sur la révélation par Vitalik Buterin de l’existence de portes dérobées sur toutes les rollups d’Ethereum. Il avait affirmé que ces portes dérobées permettaient aux développeurs d’intervenir et de procéder à des corrections sur le protocole en cas de bug. Le cofondateur de la blockchain Ethereum avait, par ces mots, causé une grande panique dans l’écosystème. On avait peine à croire que des solutions qu’on croyait décentralisées puissent être accessibles à des développeurs qui peuvent effectuer des modifications quand ils le souhaitent. Qu’en est-il vraiment ? Nous nous sommes intéressés de plus près à la question pour savoir quels risques ces portes dérobées représentent pour les utilisateurs des solutions L2 d’Ethereum.
L’importance des rollups pour le fonctionnement d’Ethereum ?
L’information selon laquelle il existe des portes dérobées (ou backdoors) dans toutes les solutions de couche 2 d’Ethereum n’était pas connue du grand public avant que Buterin n’en parle. Pour la communauté, les L2 sont une solution ayant le potentiel de révolutionner le traitement des transactions sur Ethereum.
Pour tout le monde, les solutions L2 d’Ethereum ont toujours été entièrement décentralisées et ne devraient pas être accessibles aux développeurs. Ne serait-ce que de la poudre aux yeux ? En réalité, il n’en est pas ainsi. Il faut d’abord comprendre l’importance des rollups pour le réseau Ethereum.
Il est connu que la blockchain Ethereum est souvent encombrée par le trop grand volume de transactions qui s’y effectuent. La seule manière de décongestionner cette couche 1 était de créer des blockchains secondaires vers lesquelles sera déportée une partie de la charge du réseau.
C’est de là que provient la création des Layers 2 ou couche 2. Les couches 2 du réseau sont des sortes de couloirs ajoutés au réseau et qui gèrent une partie de la charge afin d’éviter la congestion du réseau principal. Les rollups sont donc des solutions de couche 2 regroupant un certain nombre de transactions dans un lot unique qui est ensuite renvoyé sur la couche 1, c’est-à-dire sur la blockchain principale.
La question est donc de savoir si les transactions effectuées sur les rollups sont vraiment fiables, vu qu’il s’y trouve des portes dérobées.
Pourquoi les portes dérobées sont essentielles au fonctionnement optimal des rollups d’Ethereum ?
En réalité, les rollups sont une technologie très récente. Les solutions de couche 2 n’ont été développées que récemment. Cette technologie n’a pas encore atteint le niveau de stabilité et de maturité requis pour fonctionner de manière totalement décentralisée.
Pour cela, une période d’entraînement est nécessaire pour s’assurer que tous les contours de la technologie sont maîtrisés et que les bons paramétrages techniques sont effectués pour un bon fonctionnement des rollups.
C’est exactement le principe des training wheels ou des roues d’entraînement dont parlait Vitalik Buterin dans sa vidéo qui a provoqué le tollé. En effet, la technologie des rollups s’apparente à un vélo pour enfant. On y fixe deux petites roues d’entraînement de part et d’autre – des training wheels – le temps que l’utilisateur novice s’habitue à la conduite.
Mais que se passe-t-il lorsque pendant la période d’entraînement, si on remarque des bugs dans le protocole de couche 2 ? Il faut rapidement effectuer une correction technique, autrement plusieurs transactions risquent d’être compromises.
C’est pour pouvoir effectuer ces corrections que les développeurs ont mis en place un mécanisme qui se présente sous la forme de portes dérobées. Ces portes dérobées présentes sur les rollups contribuent à garantir le bon fonctionnement du protocole et à le modifier par exemple en cas de force majeure. C’est pour cela que la plupart des applications DeFi sont lancées avec des backdoors.
Cela dit, les portes dérobées ne sont destinées à rester éternellement sur les rollups. Toutefois, il faut un certain processus pour retirer les training wheels. En effet, après un certain temps « d’entraînement », les Layer 2 atteindront le niveau de robustesse et de maturité requis. Alors, les training wheels pourront être retirés et la gouvernance décentralisée prendra le relai de la gestion du protocole.
Il faut noter que plusieurs Layer 2 ont déjà exprimé leur volonté de procéder à la décentralisation progressive. En novembre 2022, Vitalik avait proposé un processus pour le retrait des training wheels. Mais en attendant que faire du risque que représentent ces portes dérobées pour le réseau.
Comment garantir la sécurité des layers 2 avec l’existence des portes dérobées ?
Le risque que pose l’existence des portes dérobées sur les rollups d’Ethereum, c’est que si les développeurs peuvent y accéder, des pirates le peuvent aussi. Ces derniers pourraient dérober les fonds sur les protocoles. En dépit de l’objectivité de ce raisonnement, plusieurs dispositions ont été prises pour éviter les abus.
En effet, avant que la modification ou la mise à jour d’un protocole de couche 2 ne soit possible, il faut généralement que plusieurs personnes doivent entrer leur clé pour que la modification soit validée. On parle d’adresse multisignature. Pour mieux comprendre, prenons en exemple le cas d’Abritrum qui pèse près de 5 milliards de dollars et est actuellement le protocole le plus important en termes de valeur.
Le cas du protocole Arbitrum
Le protocole Arbitrum est administré par un conseil de sécurité composé de 12 signataires provenant de divers protocoles DeFi et élus semestriellement par la DAO. Chacun des 12 membres possède une clé de l’adresse multisignature du réseau. Une modification ou une mise à jour du protocole n’est possible que si 9 des 12 signataires signent et valident la transaction. Si l’un des 9 signataires décidait de dérober les fonds sur Arbitrum, il faudra qu’il convainque les 8 autres.
Les chances qu’il réussisse à convaincre ce monde à effectuer une modification à but malveillant sont très minces. L’accès à ces portes dérobées sur les rollups n’est donc pas aussi simple qu’on peut le croire. Il suffit que les clés ne soient pas uniquement détenues par les développeurs. La présence d’acteurs externes au protocole dans le conseil d’administration empêche les développeurs de faire leur bon vouloir.
En clair, les portes dérobées présentes sur les rollups sont généralement bien sécurisées. Elles n’existent que pour permettre aux développeurs d’intervenir en cas de bug. Elles sont vitales jusqu’à ce que le protocole atteigne le niveau de maturité nécessaire pour être administré par une organisation autonome décentralisée.
On rappellera pour finir le cas de la plateforme de prêt AAC qui a initialement été déployé avec des backdoors. En octobre 2020, les backdoors ont été supprimés et les développeurs ont passé la main à la gouvernance décentralisée. Ainsi, inutile de craindre pour la sécurité des fonds sur la couche 2 de la blockchain Ethereum en raison de l’existence des portes dérobées sur les rollups.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Diplômé de Sciences Po Toulouse et titulaire d'une certification consultant blockchain délivrée par Alyra, j'ai rejoint l'aventure Cointribune en 2019. Convaincu du potentiel de la blockchain pour transformer de nombreux secteurs de l'économie, j'ai pris l'engagement de sensibiliser et d'informer le grand public sur cet écosystème en constante évolution. Mon objectif est de permettre à chacun de mieux comprendre la blockchain et de saisir les opportunités qu'elle offre. Je m'efforce chaque jour de fournir une analyse objective de l'actualité, de décrypter les tendances du marché, de relayer les dernières innovations technologiques et de mettre en perspective les enjeux économiques et sociétaux de cette révolution en marche.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.