Audits révèlent une faille catastrophique sur Optimism : le module de fraude désactivé !
Le 10 juin dernier, le réseau Optimism a passé un jalon de taille avec le déploiement de son système de preuves de fraude. Toutefois, seulement 3 mois après son déploiement, celui-ci a été désactivé suite à la découverte d’une faille. Heureusement, plus de peur que de mal.
Système de preuves de fraude : la pierre angulaire des rollups
Les rollups se font de plus en plus nombreux sur Ethereum. Toutefois, comme les données de L2Beat le montrent, ces derniers sont encore loin d’une décentralisation parfaite.
Parmi les points importants de cette décentralisation, nous retrouvons le système de preuve. Pour rappel, un rollup va traiter des transactions hors chaîne et publier le résultat de ces transactions sous la forme d’une preuve sur le L1.
Ces preuves peuvent ensuite être vérifiées et contestées par les utilisateurs si la preuve venait à être fausse ou frauduleuse.
En pratique, la plupart des rollups disposent de proposers de confiance qui vérifient les preuves de fraude. Ainsi, le système de preuve de fraude déployé en juin dernier devait décentraliser ce processus en permettant à n’importe qui de vérifier et contester les preuves publiées.
Faille sur le système de fraude d’Optimism
Mais voilà, le 16 août, les équipes d’Optimism ont annoncé la désactivation de ce module. En effet, des audits communautaires auraient ,semble-t-il ,permis de déceler une faille dans le système.
« Dans le cadre du correctif prévu, le fallback permissionné a été activé sur OP Mainnet. Cela signifie qu’au cours des 3 prochaines semaines, pendant le processus de mise à jour, l’Optimism Foundation est l’auteur de la proposition, le Conseil de sécurité conservant le droit de révoquer la permission si nécessaire. »
En parallèle, Optimism a proposé un correctif via son organe de gouvernance. Ainsi, cette mise à jour intitulée Granite permettra de corriger l’ensemble des smart contracts impactés par la faille. De surcroît, Granite introduira également un hard fork du L2, afin “d’améliorer la stabilité de la performance du système de preuve de fraude”.
Heureusement, il semblerait que cette faille n’ait mis aucun actif à risque.
« Aucune des vulnérabilités n’a été exploitée, et les actifs des utilisateurs ne sont pas et n’ont jamais été en danger. Cependant, par excès de prudence, le mécanisme de repli autorisé a été activé afin d’éviter toute instabilité potentielle pendant que les vulnérabilités sont corrigées. »
Désormais, la communauté doit auditer la proposition et la valider afin que le correctif soit déployé. Cette procédure devrait prendre trois semaines, établissant un déploiement de la mise à jour pour le mois de septembre.
Optimism ne se résume pas à OP Mainnet. En effet, d’autres L2 utilisent la même technologie. C’est notamment le cas du L2 Base développé par Coinbase. Celui-ci a récemment fêté son premier anniversaire après avoir enregistré une croissance démentielle.