Suite à des audits menés par la communauté qui ont révélé des failles de sécurité concernant deuxtrac, la Fondation Optimism a rétabli son réseau à accès restreint. Un représentant d'OP Labs, contributeur d'Optimism, et l'ingénieur protocole Mofi Taiwo ont proposé une mise à jour majeure (« Granite ») pour le 10 septembre afin de corriger ces vulnérabilités.
Le système anti-fraude sans autorisation d'Optimism a été mis en service il y a deux mois. Cependant, la fondation a annoncé son retour à son système initial avec autorisation après que des audits communautaires ont révélé des vulnérabilités de gravité variable dans le nouveau système.
Les audits ont révélé deux vulnérabilités majeures qui, selon le barème de primes d'ImmuneFi d'Optimism, auraient causé des ravages en cas d'exploitation.
Des audits révèlent des vulnérabilités dans d'Optimism anti-fraudetrac.
Les anomaliesdentconcernaient lestracMIPS des systèmes anti-fraude, qui n'avaient jamais été détectées par l'audit d'Optimism. Cestracont étédentà tort dans la catégorie « Atteinte à la vie et à la réputation » et, par conséquent, n'ont pas fait l'tracd'audits formels conformément aux directives du projet.
La solution de mise à l'échelle de couche 2 Ethereum a lancé le système anti-fraude sans autorisation le 10 juin. Elle intègre une mise à jour permettant aux utilisateurs de contester les transactions potentiellement incorrectes ou frauduleuses de manière plus décentralisée.
Aujourd'hui, @OPLabsPBC a publié une proposition de mise à niveau détaillant les conclusions d'une série récente d'audits menés par la communauté sur le système Fault Proof, y compris le plan de correction des bogues identifiésdentde ces audits.https://t.co/Kylblb3Wyx
— Optimisme (@Optimisme) 16 août 2024
D'après un communiqué de la Fondation Optimism, le retour en arrière a été décidé par mesure de précaution afin d'éviter toute instabilité du réseau et de protéger les fonds des utilisateurs. Le communiqué précise également qu'Optimism travaille à la correction des bugs et que ce processus devrait durer trois semaines.
La fondation a souligné que les vulnérabilités avaient étédentavant que des attaquants ne puissent les exploiter et que les actifs n'étaient pas menacés. Selon Optimism, tous les retraits en cours ont été réinitialisés et devront faire l'objet d'une nouvelle vérification.
Les systèmes de sécurité à autorisation renforcée sont plus centralisés, car seuls les proposants de confiance sont habilités à contester les transactions frauduleuses ou incorrectes. La Fondation Optimism a lancé ce nouveau système afin de décentraliser la solution de mise à l'échelle de couche 2 et d'atteindre la première étape de la décentralisation, selon Vitalik Buterin, cofondateur Ethereum .
Une solution de mise à l'échelle de couche 2 nécessite un système efficace de protection contre la fraude, sécurisé par une signature multiple de parties de confiance, pour atteindre la décentralisation de niveau 1.
L'ingénieur protocole Mofi Taiwo propose une mise à jour par hard fork pour corriger les bugs
Suite au retour du réseau à un état L2 autorisé, un représentant d'OP Labs, contributeur d'Optimism, et l'ingénieur de protocole Mofi Taiwo ont soumis une proposition au forum de gouvernance d'Optimism.
« […]Toutefois, par excès de prudence, le mécanisme de repli autorisé a été activé afin d’éviter toute instabilité potentielle pendant la correction des vulnérabilités. »
La proposition suggérait d'activer le système de secours et de mettre en évidence les vulnérabilités des contrats concernéstracIl a également précisé qu'aucune faille n'avait été exploitée et que les actifs n'étaient pas menacés.
Dans sa proposition, Taiwo suggérait également une mise à jour majeure (hard fork) baptisée « Granite », prévue pour le 10 septembre à 16h00 UTC. Cette mise à jour n'a pas encore fait l'objet d'un audit formel. Cependant, OP Labs a lancé un audit de sécurité interne qui a conclu que les modifications présentaient un faible risque.
