
Redécouvrir les Layer2 et les Rollup à travers les indicateurs de notation des risques de L2BEAT
TechFlow SélectionTechFlow Sélection

Redécouvrir les Layer2 et les Rollup à travers les indicateurs de notation des risques de L2BEAT
La plupart des Rollup ne renonceront pas au multisignature du comité de sécurité, et les contrats L2 conserveront pendant longtemps la « capacité de mise à niveau immédiate ».
Auteur : Faust
Le nom L2BEAT est sans doute familier à beaucoup, mais peu savent réellement ce qu’il fait. Pendant une période très longue avant 2023, L2BEAT était principalement perçu comme « une plateforme de visualisation des données des couches 2 d’Ethereum ». En dehors de l'affichage de la TVL (valeur totale verrouillée) et de la classification technique des projets Layer 2, les autres fonctionnalités de L2beat restaient largement méconnues. Toutefois, avec le lancement en juin dernier des indicateurs de risque pour les couches 2, cet organisme de niche, véritablement assimilable à un « agence de notation des L2 d’Ethereum », commence à attirer de plus en plus l'attention.

En parlant d’« agences de notation », un parallèle saisissant apparaît dans le livre *Le monde est plat* : « Nous vivons dans un monde dominé par deux superpuissances : les États-Unis et les agences de notation. Les États-Unis peuvent détruire un pays avec des bombes ; les agences de notation peuvent le ruiner en abaissant sa cote de crédit. Parfois, on ne sait même pas quelle force est la plus puissante. »
Des crises financières asiatiques de 1997 à la crise des subprimes de 2007, les agences de notation de Wall Street ont joué un rôle central, voire déterminant dans ces catastrophes. Dans l’écosystème Web3, qui prône officiellement la « décentralisation de la confiance » tout en reposant en réalité sur la « consensus social », l’évaluation des risques reste un élément incontournable. Que ce soit l’audit de code ou l’analyse des activités anormales sur chaîne, leur importance n’est pas inférieure — bien au contraire — à celle des preuves à connaissance nulle ou des algorithmes de consensus.
Pour ce nouveau domaine que constitue la blockchain modulaire, disposer d’un ensemble d’indicateurs objectifs, complets et capables de distinguer clairement les différentes couches 2 devient particulièrement crucial. Alors que les systèmes L2 supportent désormais près de dix milliards de dollars d’actifs, identifier efficacement les risques potentiels des L2 et alerter le public en temps utile est devenu une nécessité incontournable.

Dans un billet de blog publié en 2022 sur un forum, Vitalik a indiqué que presque tous les Rollups actuels ne sont pas encore matures, et dépendent largement de dispositifs auxiliaires appelés « Training Wheels » (roues stabilisatrices) pour assurer leur bon fonctionnement. Ces « roues stabilisatrices » reflètent dans quelle mesure un projet Rollup dépend de « l’intervention humaine » et du « consensus social ». Moins un L2 dépend de ces roues, plus il est « décentralisé » et moins il comporte de risques ; inversement, plus la dépendance est forte, plus le niveau de risque augmente.

Par exemple, les Rollups optimistes, dont Optimism, n’ont généralement pas encore mis en œuvre de système de preuve de fraude, ce qui augmente considérablement leur niveau de risque. De nombreux autres L2, tels qu’Immutable X, externalisent la disponibilité des données (DA) hors de la chaîne Ethereum, tandis que d'autres, comme Starknet, manquent de fonctions essentielles telles que le retrait forcé ou la transaction forcée à tout moment. Pour une couche 2, ces éléments sont des conditions nécessaires afin d’atteindre un niveau de sécurité équivalent à celui d’Ethereum. En outre, pratiquement tous les projets L2 conservent actuellement une « porte dérobée » via un contrat multisignature sur Ethereum, leur permettant de modifier à tout moment le hachage d’état du L2 — une vulnérabilité majeure.

Afin de mieux différencier et définir les Rollups, Vitalik et d’autres ont proposé de classer ceux-ci en trois niveaux — Stage 0, Stage 1 et Stage 2 — selon leur degré de dépendance aux « roues stabilisatrices » ou à l’intervention humaine. Plus tard, L2beat a ajusté ce cadre de classification suite à une consultation communautaire, pouvant être résumé comme suit :
Stage 0 — Dépendance totale aux roues stabilisatrices : le minimum requis pour être qualifié de Rollup
· Le projet se revendique comme un Rollup.
· Les transactions traitées par le Rollup doivent être « on-chain » (les données relatives aux transitions d’état L2 doivent être publiées sur L1, ainsi que le hachage d’état, Stateroot).
· Un ensemble de nœuds complets Rollup, à accès ouvert et à code source ouvert, doit être disponible pour permettre aux utilisateurs de connaître l’état complet des comptes sur L2 (soldes, nombre de transactions, etc.).


Un projet L2 ne sera marqué comme « Stage 0 » par L2beat que s’il remplit toutes ces conditions. À défaut, il ne sera pas considéré comme un vrai Rollup (par exemple Arbitrum Nova).

Stage 1 — Rollup partiellement dépendant des roues stabilisatrices, caractérisé par :
· Mise en œuvre obligatoire d’un système de preuve de fraude ou de preuve d’efficacité, garantissant la validité des transitions d’état L2.
· Pour les Rollups optimistes, au moins 5 nœuds L2 non contrôlés par l’équipe officielle doivent pouvoir publier des preuves de fraude (la liste blanche des challengers doit inclure au moins 5 entités extérieures à l’équipe du Rollup).
Par exemple, en novembre 2022, la liste blanche des challengers d’Arbitrum One comprenait 9 entités : Consensys, la Fondation Ethereum, L2BEAT, Mycelium, Offchain Labs, P2P, Quicknode, DLRC et Unit410.

· À tout moment, les utilisateurs doivent pouvoir contourner le séquenceur (Sequencer / Operator), et retirer leurs fonds de L2 vers L1, garantissant ainsi que leurs actifs ne soient jamais gelés. Si le séquenceur lance une attaque par censure en refusant certaines transactions, les utilisateurs peuvent forcer leur inclusion directement sur L1 dans la séquence des transactions Rollup. Hormis la publication d’un Stateroot erroné, le séquenceur ne dispose d’aucun autre vecteur d’attaque.
· Un comité de sécurité peut être mis en place, géré par un contrat multisignature, disposant du pouvoir de mettre à jour de force le contrat Rollup en cas d’urgence, ou d’intervenir sur le hachage d’état L2 enregistré. Cependant, les clés privées du multisig doivent être suffisamment distribuées et le seuil de validation élevé. Selon Vitalik, ce seuil devrait être au minimum de 6/8, c’est-à-dire géré par plus de 8 personnes, avec un seuil d’activation de 75 %.

· Toute mise à jour du contrat Rollup non autorisée par le comité multisig doit être soumise à un délai de verrouillage temporel d’au moins 7 jours. Ainsi, en cas de proposition malveillante (comme lors de l’attaque de gouvernance contre Tornado Cash), les utilisateurs disposent d’au moins 7 jours pour retirer leurs fonds en toute sécurité.


Actuellement, seuls quelques Rollups dominants atteignent le niveau Stage 1 : Arbitrum One, dYdX et zkSync Lite. La plupart des autres projets restent au stade Stage 0.
Stage 2 — Indépendance totale des roues stabilisatrices : un Rollup pleinement autonome
· Sur un réseau Rollup optimiste, tout nœud L2 doit pouvoir publier une preuve de fraude sans restriction (accès permisless), supprimant toute liste blanche (Arbitrum One travaille récemment sur un protocole nommé BOLD dans cette direction).
· Toute mise à jour du contrat Rollup doit être soumise à un délai de verrouillage d’au moins 30 jours, voire être impossible. Cela donne aux utilisateurs au moins 30 jours pour retirer leurs fonds en cas de mise à jour malveillante.
Pour mieux comprendre les indicateurs de risque établis par L2BEAT, examinons trois exemples de Rollups aux niveaux de sécurité différents.
Stage 0 - Base, Stage 1 - Arbitrum One, Stage 2 - Fuel :
Base est l’un des projets phares parmi les Rollups optimistes. Il utilise un contrat sur L1 pour enregistrer le hachage d’état L2 (Stateroot), gérer les dépôts et retraits vers L2, et s’appuie sur Ethereum pour la disponibilité des données (DA), tout en étant connecté à L1 via un pont.

Le séquenceur de Base doit publier les données des transactions L2 sur L1. Concrètement, environ toutes les quelques minutes, il envoie une transaction vers une adresse spécifiée sur Ethereum, insérant dans le champ Calldata (données personnalisables) un lot de transactions compressées. Comme les nœuds complets L2 synchronisent automatiquement les blocs L1, ils détectent cette transaction, extraient les données L2 du Calldata, mettent à jour l’état du séquenceur L2 et calculent le Stateroot correct, qu’ils comparent ensuite à celui soumis sur L1.

À ce jour, Base n’a pas encore activé de système de preuve de fraude. Il ne peut donc pas garantir que le Stateroot enregistré sur L1 est correct. Seuls les utilisateurs capables d’exécuter un nœud complet L2 peuvent détecter une erreur rapidement. De plus, Base ne dispose pas de mécanisme de retrait forcé pour résister aux attaques par censure. Si le séquenceur tombe en panne prolongée ou refuse sciemment des requêtes, les utilisateurs L2 ne pourront pas retirer leurs fonds vers L1, ce qui représente un risque majeur.
Il est clair que, sur le plan mécanique, un tel Rollup n’est pas sécurisé. Néanmoins, les utilisateurs et membres de la communauté peuvent alerter via les réseaux sociaux, amenant la Fondation Ethereum ou même des régulateurs comme la SEC à intervenir. C’est ce qu’on appelle le « consensus social » : grâce à une transparence maximale des données et à une surveillance communautaire spontanée, on repose sur la pression médiatique, l’intervention humaine et la responsabilité juridique pour dissuader les mauvaises intentions. C’est la forme la plus basique de protection, car elle ne prévient pas les abus, mais permet seulement de sanctionner *a posteriori*.
Cependant, le « consensus social » reste une condition fondamentale de la sécurité blockchain (si quelqu’un tente une bifurcation malveillante d’Ethereum, la communauté décidera par consensus quelle chaîne suivre). En outre, les acteurs malveillants hésitent souvent à agir, conscients des conséquences de l’exposition publique — bien que certains, comme FTX, ZT ou Mt. Gox, aient franchi le pas.

En comparant maintenant avec Arbitrum One, les différences sont immédiatement visibles. Arbitrum One dispose d’un système opérationnel de preuve de fraude, avec une liste blanche de challengers incluant 9 entités distinctes, notamment la Fondation Ethereum et L2BEAT. Dès qu’un séquenceur publie un Stateroot erroné sur L1, un challenger peut soumettre une preuve de fraude, garantissant ainsi la validité du Stateroot sur le contrat Rollup.
De plus, Arbitrum One possède un mécanisme de transaction forcée contre les attaques par censure du séquenceur, permettant aux utilisateurs d’appeler la fonction forceInclusion du contrat Sequencer Inbox sur L1 pour y soumettre directement une transaction. Si, dans les 24 heures, le séquenceur n’a pas inclus cette transaction ou retrait marqué comme « à inclure », celle-ci est automatiquement ajoutée à la séquence Rollup, offrant ainsi un « port de sortie sécurisé » pour retirer ses fonds depuis L2.
Il est important de souligner que, pour les projets Rollup au niveau Stage 1, les utilisateurs peuvent forcer le retrait dès lors qu’ils peuvent accéder à l’état complet des comptes L2 et générer une preuve Merkle correspondant à leur solde, via une fonction dédiée dans le contrat Rollup (souvent appelée « capsule d’évacuation » ou Escape Hatch). La manière d’obtenir l’état du compte dépend de la présence de nœuds complets accessibles au public dans le réseau Rollup (ce qui existe presque toujours).
En outre, les mises à jour du contrat Arbitrum One sont soumises à plusieurs garde-fous : une proposition normale passe d’abord par un vote de gouvernance sur chaîne ; après approbation, elle est bloquée pendant 12 jours (time lock) avant exécution automatique. Une mise à jour contenant du code malveillant peut être annulée par le comité de sécurité via le multisig.

Cependant, le comité de sécurité d’Arbitrum One peut contourner le time lock : si 9 des 12 signataires du multisig approuvent, il peut immédiatement mettre à jour le code du contrat ou modifier de force le Stateroot L2 enregistré.
Quant à savoir pourquoi le comité de sécurité dispose d’un tel pouvoir, Vitalik a expliqué :
« Certains Rollups peuvent utiliser plusieurs fonctions indépendantes de transition d’état. Par exemple, deux émetteurs de preuve de fraude ayant des avis divergents, plusieurs nœuds Prover soumettant des preuves d’efficacité différentes, ou un séquenceur tentant de fork le registre L2 sur L1, ou encore l’absence de preuve d’efficacité soumise sur chaîne dans les 7 jours — toutes ces situations pourraient entraîner l’effondrement total du système L2. Dans de tels cas critiques, le comité de sécurité peut trancher, guidant le système vers le résultat correct par intervention humaine. »
Bien sûr, Vitalik ne cite là que quelques scénarios simples. Étant donné qu’un contrat Rollup pourrait être piraté, ou que le séquenceur pourrait être compromis (voire corrompu de l’intérieur), des mesures d’urgence restent indispensables.
Selon Vitalik, un Rollup idéal pourrait autoriser les mises à jour de contrat, mais uniquement avec un time lock supérieur à 30 jours, offrant ainsi un délai suffisant aux utilisateurs et à la communauté pour réagir.

Clairement, puisque le comité de sécurité d’Arbitrum peut mettre à jour le contrat immédiatement après accord multisig, une nouvelle version contenant du code malveillant pourrait théoriquement voler les actifs des utilisateurs sur L2. Ainsi, Arbitrum One ne répond pas à la définition de Vitalik d’un Rollup parfait, bien qu’il présente un risque relativement faible.

Quand on cherche un « Rollup parfait », seul deux projets figurent sur L2BEAT : Fuel V1 et DeGate. Fuel V1 fut le premier Rollup optimiste à implémenter un système de preuve de fraude, totalement permisless : tout le monde peut exécuter un nœud et publier une preuve quand nécessaire. De plus, son contrat est figé — aucune mise à jour n’est possible, et le comité ne peut pas interférer avec le Stateroot L2 enregistré. Il n’y a donc aucun risque lié au comité de sécurité.
Fuel V1 atteint le niveau de risque minimal, mais chaque mise à jour nécessite un redéploiement complet du contrat, et les utilisateurs doivent migrer manuellement leurs actifs vers la nouvelle version — ce qui revient en pratique à relancer un nouveau projet. Cette fragmentation nuit gravement à la liquidité et réduit considérablement la flexibilité. En raison de son modèle de programmation UTXO incompatible EVM, et du départ de son fondateur vers Celestia, le développement de Fuel s’est progressivement arrêté, et son écosystème peine à se développer.
En résumé, la recherche d’une sécurité absolue a pour prix une grande rigidité dans les mises à jour, et tant que les technologies de preuve de fraude et de preuve d’efficacité ne seront pas matures, maintenir une certaine capacité de mise à jour du contrat semble être une fonctionnalité incontournable pour les Rollups.
Dans les années à venir, on peut anticiper que : la majorité des Rollups ne renonceront pas au multisig du comité de sécurité, et leurs contrats L2 conserveront une « capacité de mise à jour immédiate » (un projet ZK Rollup qui n’a jamais abandonné son comité multisig a finalement lancé un nouveau projet). Compte tenu de la difficulté de développement des systèmes de preuve de fraude, de nombreux Rollups optimistes non leaders ne pourront probablement pas les déployer à court terme (sans doute pas d’ici fin 2023). Arbitrum One conservera donc longtemps une position dominante dans l’espace Rollup, bien qu’il ne soit pas le plus sécurisé, il dispose d’un système de preuve de fraude relativement complet, d’un multisig bien distribué (9/12 signataires, répartis entre 12 membres communautaires dont des représentants du projet ARB), et surtout d’un écosystème DApp massif — plus de 440 applications. Quant à Base, qui mise davantage sur le marketing et affiche une sécurité médiocre, sa capacité à maintenir sa croissance récente reste à prouver. Si Base venait à dépasser Arbitrum One en TVL, cela pourrait signifier l’effondrement même de la croyance en la « décentralisation de la confiance ».
Mais surtout, nous aurons toujours besoin d’institutions comme L2BEAT. Dans cette ère instable et chaotique, un système clair, transparent et complet d’évaluation des risques restera la clé pour assurer la pérennité et la prospérité d’Ethereum, voire de tout l’écosystème Web3.

Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














