En ce qui concerne le nom L2BEAT, la plupart des gens ont peut-être entendu parler, mais ils ne comprennent pas vraiment ce qu'il fait. Pendant assez longtemps jusqu'en 2023, l'impression des gens sur L2BEAT était souvent simplement une plateforme de visualisation des données de couche 2 d'Ethereum. Outre l'affichage des données de TVL et la classification des solutions techniques du circuit L2, les gens semblent ne pas en savoir beaucoup sur les fonctions de L2beat. Cependant, avec la montée progressive des indicateurs de notation des risques de la couche 2 lancés en juin de cette année, L2BEAT, une organisation de niche comparable à l'agence de notation de la couche 2 d'Ethereum, est devenue de plus en plus connue de plus en plus de personnes.

Lorsque les quatre mots « agence de notation » sont mentionnés, il existe une analogie extrêmement vivante dans le livre « Le monde est plat » : « Nous vivons dans un monde de deux superpuissances, l'une est les États-Unis et l'autre est une agence de notation. Les États-Unis peuvent utiliser des bombes pour détruire un pays, et les agences de notation peuvent utiliser des déclassements de la dette pour détruire un pays ; parfois, il est impossible de dire qui des deux est le plus puissant.

De la crise financière asiatique de 1997 à la crise des prêts hypothécaires à risque de 2007, les agences de notation de Wall Street ont joué un rôle important et sont même devenues des acteurs importants de ces événements néfastes. Cependant, dans le Web3, un cercle qui se concentre ostensiblement sur la "décontamination" et qui repose en réalité sur un "consensus social", les "notations de risque" sont une partie importante qui ne peut jamais être contournée. Que ce soit pour l'audit du code de contrat ou pour l'analyse des changements on-chain, leur valeur n'est pas inférieure aux preuves de connaissance nulle et aux algorithmes de consensus, voire plus.

Pour le nouveau domaine de la blockchain modulaire, un ensemble objectif et complet d'indicateurs d'évaluation des risques capables de distinguer entre différentes couches est particulièrement important. Surtout maintenant que le système L2 transporte déjà près de 10 milliards de dollars américains d'actifs, comment détecter plus efficacement les risques potentiels liés au L2 et mieux avertir le public est déjà un problème pratique inévitable.

Dans un blog du forum de 2022, Vitalik a mentionné que actuellement, presque tous les Rollups ne sont pas très matures, et la plupart d'entre eux utilisent des moyens auxiliaires connus sous le nom de Training Wheels (roues auxiliaires) pour assurer le fonctionnement normal des Rollups. Le "tour auxiliaire" reflète dans quelle mesure le projet Rollup dépend de l'intervention manuelle et du consensus social. Moins on dépend de la roue auxiliaire, plus le L2 est "décontaminé", plus le risque est faible ; vice versa, plus le risque est élevé.

Par exemple, la plupart des Rollups optimistes, y compris Optimism, n'ont pas lancé de système de preuve de fraude, ce qui augmente considérablement le niveau de risque ; il y a aussi pas mal de L2 comme Immutable X qui implémentent la DA (disponibilité des données) sous la chaîne ETH, ou qui manquent de fonctions de retrait obligatoire/transaction obligatoire qui peuvent être invoquées à tout moment, comme Starknet. Pour la couche 2, les conditions ci-dessus sont nécessaires pour garantir qu'elle est "aussi sécurisée que l'ETH". Bien sûr, en plus de cela, presque tous les partenaires de projet L2 ont actuellement laissé une "porte dérobée" pour eux-mêmes. Ils s'appuient sur un ensemble de signatures multiples pour gérer le code de contrat L2 sur Ethereum, et peuvent changer le hachage d'état à tout moment. Il s'agit également d'un énorme danger caché.

Afin de mieux différencier et définir Rollup, Vitalik et d'autres ont divisé Rollup en 3 niveaux, à savoir Étape 0, Étape 1 et Étape 2, en fonction de la mesure dans laquelle un projet Rollup repose sur une intervention auxiliaire/manuel. L2beat a par la suite révisé ce schéma de classification en sollicitant des commentaires de la communauté. On peut le résumer grossièrement comme suit :

Étape 0 — S'appuyant entièrement sur des roues auxiliaires, les normes minimales qu'un rollup doit respecter :

· Le projet prétend être Rollup.

·Les transactions traitées par Rollup doivent être "sur la chaîne" (les données impliquant le processus de transition d'état L2 doivent être divulguées à L1, et le hachage d'état L2 Stateroot doit également être divulgué;)

Un lot de nœuds rollup avec des autorisations ouvertes et un code source ouvert doit être mis en place pour aider les utilisateurs à connaître le statut de tous les comptes sur la couche 2 (y compris le solde, le nombre de transactions, etc.).

Seuls les projets de couche 2 qui répondent à toutes les conditions ci-dessus seront marqués comme étape 0 par L2beat, c'est-à-dire qu'ils répondent à la norme minimale pour un rollup; sinon, ils ne seront pas considérés comme un rollup (comme Arbitrum Nova).

La phase 1, qui repose en partie sur le rollup sur la roue auxiliaire, présente les caractéristiques suivantes :

Un système de certification de preuve de fraude/validité doit être lancé pour garantir l'efficacité des transitions de statut L2;

·S'il s'agit d'un Rollup optimiste, il doit y avoir au moins 5 nœuds L2 non officiellement contrôlés qui peuvent émettre une preuve de fraude (la liste blanche du défi inclut au moins 5 entités autres que celles officielles de Rollup).

Par exemple, en novembre 2022, les membres de la liste blanche des challengers d'Arbitrum One incluent 9 entités : Consensys, Ethereum Foundation, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC et Unit410.

À tout moment, les utilisateurs peuvent contourner le séquenceur Séquenceur (Opérateur) et retirer de force des actifs de L2 à L1 pour garantir que les actifs ne seront pas gelés ; si le séquenceur lance des attaques de censure et refuse de traiter certaines transactions, les utilisateurs peuvent soumettre de force des transactions dans la séquence de transactions L1 Rollup. Mis à part publier le mauvais Stateroot, le séquenceur n'a trouvé aucun autre moyen de faire le mal.

·Rollup peut mettre en place un comité de sécurité, géré par un ensemble de signatures multiples, et a le pouvoir de mettre à niveau de force le contrat Rollup en cas d'urgence, ou d'interférer avec le hachage de statut L2 enregistré dans le contrat. Cependant, les clés privées à signatures multiples de la Commission doivent être suffisamment dispersées, et le seuil doit être suffisamment élevé. Vitalik lui-même estime que cette valeur devrait être d'au moins 6/8, c'est-à-dire que les signatures multiples sont gérées par plus de 8 personnes, et que le seuil effectif est de 75%.

La mise à niveau du contrat rollup, qui n'a pas été autorisée par plusieurs signatures de la Commission, est soumise à un délai de verrouillage temporel d'au moins 7 jours. De cette manière, si Rollup est touché par une proposition de mise à jour malveillante telle qu'une attaque de gouvernance (voir l'incident d'attaque de gouvernance de Tornado Cash), les utilisateurs peuvent disposer d'au moins 7 jours pour retirer en toute sécurité leurs fonds.

Actuellement, seuls Arbitrum One, dYdX et zkSync Lite répondent aux exigences de l'étape 1; tous les autres Rollups principaux restent à l'étape 0.

Étape 2 — Abandonnez complètement la roue auxiliaire et devenez un rollup complet :

Les nœuds L2 dans le réseau Optimistic Rollup qui peuvent publier des certificats de fraude doivent être sans permission et supprimer les paramètres de liste blanche (en réponse à cela, Arbitrum One a récemment introduit un accord appelé BOLD);

Toutes les mises à niveau de contrat rollup sont limitées par un délai de verrouillage temporel d'au moins 30 jours, ou le contrat ne peut pas être mis à niveau du tout. Cela signifie que en cas de mise à niveau malveillante du rollup, les utilisateurs de Layer 2 ont au moins 30 jours pour retirer en toute sécurité leurs fonds.

Afin de mieux comprendre les indicateurs de notation des risques répertoriés par L2BEAT, nous pouvons sélectionner trois exemples de Rollup avec différents niveaux de sécurité pour l'analyse.

Stage0-Base, Stage1-Arbitrum One, Stage2-Fuel:

Base est l'un des principaux projets du Circuit Optimistic Rollup. Il repose sur des contrats sur L1 pour enregistrer le hachage de l'état L2 Stateroot, traiter les fonds entrants et sortants de L2, et utiliser Ethereum pour assurer la disponibilité des données (DA), et a une relation de pont avec L1.

Le séquenceur de base doit divulguer les données de transaction L2 à L1. Plus précisément, toutes les quelques minutes, le séquenceur initie une transaction à une adresse spécifiée sur Ethereum, et enregistre un lot de données de transaction compressées dans les données supplémentaires personnalisables de la transaction. Puisque tous les nœuds L2 synchroniseront automatiquement le bloc L1, ils peuvent surveiller la transaction émise par le séquenceur, analyser les données de transaction L2 dans ses données supplémentaires, puis obtenir le dernier état du séquenceur L2, calculer le hachage d'état correct, Stateroot, et le comparer avec le Stateroot soumis par le trieur L1.

Actuellement, Base ne dispose pas d'un système de certification de fraude en ligne, il n'y a donc aucune garantie que le Stateroot L2 enregistré dans le contrat L1 soit correct, mais les utilisateurs capables d'exécuter tous les nœuds L2 peuvent détecter l'erreur en temps utile; de plus, Base n'a pas de plan pour résister aux attaques de censure telles que les retraits forcés. Si le séquenceur tombe en panne pendant une longue période ou rejette délibérément les demandes des utilisateurs, les utilisateurs L2 ne pourront pas retirer en toute sécurité des fonds vers L1, ce qui pose un énorme risque en matière de sécurité.

De toute évidence, ce type de rollup est dangereux au niveau de la conception du mécanisme, mais les utilisateurs et les membres de la communauté L2 peuvent émettre des avertissements via les médias sociaux lorsque cela est nécessaire pour que les régulateurs tels que la Fondation Ethereum et même la SEC soient conscients de la survenue de dangers. C'est ce qu'on appelle le "consensus social", c'est-à-dire, grâce à un degré élevé de transparence des données et à la supervision volontaire des membres de la communauté, pour restreindre le comportement répréhensible des partenaires du projet L2 par le biais de la "fermentation de l'opinion publique", de l'"intervention manuelle" et de la "responsabilité légale" ultérieure. Il s'agit du niveau le plus bas de garantie de sécurité car il ne peut pas empêcher le mal à l'avance, mais seulement après que le comportement répréhensible s'est produit.

Cependant, en réalité, le « consensus social » est également une condition de base pour assurer la blockchain (si quelqu'un tente de forker malicieusement Ethereum, la communauté Ethereum utilisera également le consensus social pour déterminer quelle chaîne fork suivre), et comme les acteurs malveillants considèrent les conséquences de leurs actions exposées, la plupart du temps, ils n'osent pas prendre de risques (à l'exception des échanges FTX, ZT et Mentougou, etc., bien sûr).

Lorsque nous changeons l'objet d'inspection en Arbitrum One, nous pouvons immédiatement voir la différence entre celui-ci et Base. Par exemple, il a lancé un système de preuve de fraude utilisable et mis en place une liste blanche de challengers. Il inclut des nœuds gérés par 9 entités différentes, y compris la Fondation Ethereum et L2beat. Tant que le séquenceur publie un hash d'état erroné Stateroot à L1, le nœud challenger publiera un certificat de fraude, ce qui peut garantir que le L2 Stateroot enregistré dans le contrat Rollup est correct.

En même temps, Arbitrum One dispose d'un mécanisme de transaction obligatoire pour faire face aux attaques de censure de séquenceur, qui permet aux utilisateurs d'appeler la fonction Force Inclusion du contrat Sequencer Inbox sur L1 pour soumettre directement des instructions de transaction à L1; si le séquenceur ne traite pas cette transaction/retrait nécessitant une "inclusion obligatoire" dans les 24 heures, l'ordre de transaction/retrait sera directement inclus dans la séquence de transaction Rollup, ce qui crée une "sortie sécurisée" pour les utilisateurs des retraits forcés de L2.

Il convient de souligner ici que dans le projet rollup de la phase 1, les utilisateurs peuvent forcer les retraits grâce à la fonction spécifiée dans le contrat Rollup dès lors qu'ils connaissent le statut global du compte L2 et construisent une preuve de Merkle correspondant à leur solde de compte (cette fonction est généralement appelée Escape Hetch dans la capsule d'évasion). Quant à savoir comment connaître le statut du compte L2, cela dépend de la présence de tous les nœuds dans le réseau Rollup qui ouvrent les données au monde extérieur (presque tous les L2 ont de tels nœuds).

De plus, le comportement de mise à niveau des contrats d'Arbitrum One est limité par divers facteurs. Par exemple, une proposition de mise à niveau de contrat normale doit d'abord passer une décision de vote régie par la gouvernance on-chain. Après que le seuil de vote est dépassé, il est également soumis à un verrouillage temporel (il y a un délai de 12 jours) avant qu'il ne soit automatiquement exécuté. Si la proposition de mise à niveau du contrat contient une logique de code malveillant, elle peut être rejetée par le Comité de sécurité (exécutée via de multiples signatures).

Cependant, le Comité de sécurité d'Arbitrum One lui-même peut franchir le verrouillage temporel. Par exemple, tant qu'au moins une signature est transmise le 9/12, la Commission de sécurité peut immédiatement mettre à niveau le code du contrat, ou changer de force le L2 Stateroot enregistré dans le contrat Rollup.

Quant à la raison pour laquelle le Conseil de sécurité a autant de pouvoir, Vitalik l'a expliqué une fois :

« Certains cumuls peuvent utiliser plusieurs fonctions de transition d’état indépendantes, telles que deux éditeurs de certificats frauduleux avec des vues différentes, ou plusieurs nœuds de prouveur soumettant une preuve de validité différente, ou le séquenceur essayant de dupliquer le compte L2 sur L1, ou la preuve de validité n’étant pas soumise à la chaîne dans les 7 jours, ce qui peut entraîner un plantage complet du système L2. Le comité de sécurité peut prendre des décisions dans cette situation dangereuse, en utilisant une intervention manuelle pour guider le système afin qu’il adopte les bons résultats.

Bien sûr, Vitalik n'a répertorié que quelques simples " situations dangereuses ". Étant donné que le contrat Rollup peut être piraté et que le séquenceur peut être piraté (ou inexpérimenté) à tout moment, des contre-mesures urgentes sont clairement nécessaires.

Selon Vitalik, s'il s'agit d'un Rollup complet, le contrat peut être mis à niveau, mais il doit avoir un délai de verrouillage temporel supérieur à 30 jours pour donner aux utilisateurs et aux membres de la communauté suffisamment de temps pour répondre.

De toute évidence, étant donné que le comité de sécurité d'Arbitrum peut mettre à niveau les contrats immédiatement après l'approbation de plusieurs signatures, si la nouvelle version du code contient une logique commerciale malveillante, elle peut théoriquement s'approprier les actifs L2 des utilisateurs. Par conséquent, Arbitrum One ne répond pas à la définition d'un rollup parfait selon Vitalik ; c'est juste que le niveau de risque est relativement faible.

Lorsque nous examinions le « rollup parfait », seuls deux projets sur L2BEAT remplissaient les critères : Fuel V1 et DeGate. Parmi eux, Fuel V1 est un rollup optimiste du premier système de preuve de fraude en ligne. Sa soumission de certificat de fraude est sans permission, et n'importe qui peut exécuter le nœud et publier des certificats de fraude lorsque nécessaire. En même temps, le contrat Fuel V1 est figé et ne peut pas être mis à niveau du tout, et la Commission ne peut pas interférer avec le L2 Stateroot enregistré dans le contrat Rollup, donc il n'y a aucun risque de soi-disant Commission de sécurité.

Fuel V1 a atteint le niveau de risque le plus bas, mais à chaque mise à jour et itération, les contrats doivent être redéployés et les utilisateurs doivent migrer manuellement leurs actifs vers la nouvelle version. En essence, un nouveau projet a été retravaillé. Le résultat est une fragmentation de la liquidité, ce qui réduit considérablement la flexibilité. En raison de diverses raisons telles que l'utilisation de UTXO et l'incompatibilité avec l'EVM dans le modèle de programmation, et le fondateur passant plus tard à l'équipe Celestia, le développement de Fuel a progressivement stagné et la construction écologique n'a pas été satisfaisante.

Dans l'ensemble, le coût de la recherche de la sécurité absolue est l'inconvénient des mises à jour et des itérations. À une époque où les technologies de preuve de fraude et de preuve de validité ne sont pas encore parfaites, le maintien d'un certain degré de capacité de mise à niveau des contrats est probablement une fonctionnalité que RollUp doit avoir.

Pendant un certain temps à venir, nous pouvons anticiper la situation suivante : la plupart des rollups ne renonceront pas au comité de sécurité à multiples signatures, et le contrat L2 sera "immédiatement améliorable" pendant une longue période (un certain projet ZK Rollup n'a jamais renoncé aux signatures du comité de sécurité multiples, puis a simplement tourné la tête vers un nouveau projet). En raison de la difficulté de développer un système de preuve de fraude, la plupart des rollups optimistes qui ne sont pas leaders pourraient ne pas être en mesure de lancer des preuves de fraude à court terme (probablement pas d'ici la fin de 2023), et Arbitrum One sera en position de leader sur le circuit Rollup pendant longtemps. Bien qu'il n'ait pas encore le plus haut niveau de sécurité, il dispose d'un système de preuve de fraude relativement complet, et les signatures multiples du comité de sécurité sont raisonnablement dispersées (9/12 signatures multiples, distribuées à 12 membres de la communauté, y compris les membres du projet ARB), et possède également le plus grand écosystème dApp - plus de 440 applications. Cependant, il reste à vérifier si Base, qui a une sécurité médiocre et qui repose davantage sur le marketing, peut continuer la dynamique de croissance des derniers mois. Si Base parvient à dépasser Arbitrum One en termes de volume TVL, cela pourrait entraîner l'effondrement de la croyance en la "déconfiance" elle-même.

Bien sûr, surtout, nous aurons toujours besoin d'agences de notation des risques telles que L2BEAT. Dans cette ère turbulente et chaotique, un ensemble d'indicateurs de notation des risques clairs et complets sera toujours la clé pour garantir le développement florissant du système Ethereum et de Web3 dans son ensemble.

Avertissement :

1. Cet article est repris de [ moyen]. Tous les droits d'auteur appartiennent à l'auteur original [Faust, web3 geek]. Si vous avez des objections à cette réimpression, veuillez contacter l'équipe Gate Learn（gatelearn@gate.io) et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdite.