Web 3 : le mirage de la décentralisation ?

Miroir aux alouettes – Sur son blog, un des co-fondateurs de la messagerie Signal passionné de cryptographie alerte à propos d’Ethereum. Il a publié un billet qui remet sérieusement en doute la décentralisation du deuxième plus gros réseau blockchain, et par extension des autres blockchains orientées DeFi : des faits qui montrent les limites du Web 3 en 2022. 

Des Dapps pas si décentralisées que ça

Comme nous l’évoquions récemment, le Web3 va se développer en 2022 et même au-delà. Ce terme est littéralement devenu le mot le plus employé par la communauté crypto, peut-être seulement battu par « metaverse ». Le Web 3 a vocation à être décentralisé et recentrer les applications du Web 2 autour de l’utilisateur, à commencer par ses données et son « intimité virtuelle ».

Afin de s’immerger dans l’internet du futur, Moxie a créé deux Dapps (applications décentralisées) liées aux NFTs. Cela lui a permis de décortiquer leur fonctionnement et son verdict est sans appel : il n’y a rien de « distribué » à propos d’applications aussi populaires qu’OpenSea, le géant des NFT. Or, la distribution du réseau et de ses données est l’un des principes fondamentaux pour assurer la décentralisation d’une blockchain.

« Pour être tout à fait clair, il n’y a rien de particulièrement « distribué » dans les dApps elles-même : ce sont juste des sites web normaux en React. Tout au plus on peut concéder que l’état général et les permissions tout comme une partie de la logique du développement sont mis à jour en temps réel sur des blockchains, mais on y déplace juste la base de données centralisée. »

Moxie, dans une note de blog

Les amateurs de blockchain et de cryptos ont tendance à ne pas se préoccuper de l’aspect client/serveur des opérations. Rappelons qu’il est laborieux à tous égards de faire tourner ses propres serveurs (déjà dans le web 2). Pourtant, c’est là que le bât blesse. Bien que tous les protocoles et smart contracts soient décentralisés, la majorité des Dapps fait appel à deux entreprises principales pour interagir avec la blockchain Ethereum.

Vous avez dit Web 3.0 ?

En l’occurrence, des entreprises – Infura et Alchemy – vendent un accès API (interface de programmation d’application) à un nœud ethereum qu’elles exécutent pour leurs clients (Open Sea entre autres). Elles fournissent aussi des analyses, des API améliorées implémentées aux API Ethereum de base et un accès aux historiques de transactions de chaque wallet…

D’après Moxie, la quasi totalité des Dapps utilisent les services d’Infura ou d’Alchemy pour opérer leurs transactions sur la blockchain. En réalité, lorsque que vous utilisez votre MetaMask avec une Dapp, Metamask ne fait que demander l’information à Infura (entreprise privée, centralisée). La société qui fait tourner le nœud répond ensuite à MetaMask, qui met à jour votre solde en fonction des informations transmises par Infura. Et la réponse d’Infura à votre Metamask elle-même n’est pas encryptée !

Une autre chose que le collectionneur de NFT ignore probablement est que l’espace au sein d’un bloc est limité, donc coûteux. Cela rend le stockage d’images sur une blockchain trop cher et irrationnel à ce jour, les données sont donc hébergées « off-chain ». Moxie met également en lumière le fait qu’au lieu de pointer directement vers des infos « on-chain », les NFTs contiennent seulement un URL qui pointe vers la data en question.

« L’URL pointe souvent juste vers des serveurs VPS qui font tourner Apache, quelque part. N’importe quelle personne qui aurait accès à cette machine virtuelle peut acheter le nom de domaine relié au NFT dans le futur, le compromettre et changer l’image et la description du NFT en question – même sans détenir le token. »

Les NFTs et le cas OpenSea

Cet URL est finalement hébergé par un seul acteur (privé), probablement sur une seule machine. Cela devrait tempérer grandement une vision idéalisée de l’état actuel des choses concernant les Dapps. Nous sommes donc bien loin des standards de décentralisation et d’information distribuée et brandis par le Web 3. En effet, si Infura (ou un hacker) décidait de modifier les caractéristiques de votre NFT en compromettant la machine sur laquelle il est stocké, il le pourrait, de façon totalement unilatérale. Et sans être le propriétaire légitime du jeton non fongible !

Pour résumer, cela veut dire que si votre NFT est retiré d’OpenSea, alors il disparaîtra également de votre wallet… MetaMask permettant seulement de visualiser « la data qui vous est attribuée, hébergée sur un serveur centralisé« . Ce qui semble totalement contraire à la philosophie et aux ambitions du Web 3. Tant d’efforts, de sueur et d’ingénierie en amont pour finalement réaliser des opérations de façon décentralisée et finir par les confier à un acteur privé centralisé.

La décentralisation, un problème (infra) structurel

Maintenant que le constat concernant les coulisses du Web 3 est posé, comment y remédie-t-on ? En commençant par voir les choses en face. Comme évoqué plus haut, personne et pas même les développeurs de votre Dapp préférée, ne souhaitent faire tourner leur propre nœud/serveur. Ils sollicitent donc Infura ou Alchemy.

Cela veut donc dire que si le protocole s’exécute de façon autonome et décentralisée, les infrastructures qui le supportent ne le sont pas du tout. Moxie note qu’il faut donc bâtir des solutions permettant de distribuer la confiance sans distribuer l’infrastructure. C’est un point critique dans le secteur crypto, et les prévisions de Messari pour 2022 le mettent aussi en lumière.

Dynamique, ambitieux et en plein essor, le Web 3 en est encore à ses balbutiements. L’apport de spécialistes en cryptographie (plus qu’en cryptomonnaie) qui ne croient pas, mais vérifient est essentiel, ces révélations en sont le parfait exemple. Après plus de 10 ans d’existence, l’adolescence des cryptomonnaies pourrait être ponctuée de crises existentielles.