
Analyse de Bool Network : un véritable pont inter-chaînes centralisé pour Bitcoin ?
TechFlow SélectionTechFlow Sélection

Analyse de Bool Network : un véritable pont inter-chaînes centralisé pour Bitcoin ?
Bool Network pourrait offrir un espoir de percée pour les ponts inter-chaînes du Bitcoin.
Auteurs : Faust & Abyss, Geek Web3
Résumé : Depuis l'apparition de divers ponts multichaînes, les attaques de pirates informatiques qui les ont suivis n'ont pratiquement jamais cessé. Le vol de 620 millions de dollars sur le pont officiel d'Axie en 2022 a particulièrement choqué le monde, poussant de nombreuses personnes à réfléchir à la sécurité et à la confiance des ponts multichaînes. Pourtant, à ce jour, de nombreux problèmes dans ce domaine restent non résolus.
Comme pour les blockchains publiques, les ponts multichaînes sont confrontés à un « triangle impossible » dans leur conception, une contrainte fondamentale toujours d’actualité. Afin de présenter un avantage en termes de coûts et d'expérience utilisateur (UX), la majorité des ponts multichaînes adoptent un modèle dit de « témoin » basé sur du multisignature (multisig). Or, dès leur mise en œuvre, ces solutions sont devenues des cibles privilégiées pour les hackers.
L'histoire nous enseigne durement que les ponts utilisant des témoins sans mesures de protection finissent inévitablement par être compromises. Pourtant, ce type de pont est devenu monnaie courante dans l'écosystème Bitcoin, ce qui inspire une profonde inquiétude.
Le projet présenté ici, Bool Network, cherche à améliorer le modèle de sécurité traditionnel des ponts à témoins en proposant des témoins dynamiquement rotatifs, combinés au calcul confidentiel et à l’enveloppement des clés via TEE (environnement d'exécution fiable). Cette approche pourrait offrir une solution prometteuse aux défis de décentralisation des ponts multichaînes dans l’écosystème Bitcoin.
État actuel de l'écosystème Bitcoin : partout du multisig
La nature d’un pont multichaîne consiste à prouver qu'une chaîne B qu'un utilisateur a lancé une demande de transfert sur la chaîne A, conformément aux règles et après paiement des frais requis. Diverses méthodes peuvent permettre de valider cet événement.
Les ponts utilisant un « light client » déployent généralement des contrats intelligents sur la chaîne cible pour y vérifier nativement les messages de transfert. Bien que très sécurisés, ces ponts sont également très coûteux, et ne peuvent pas être implémentés sur Bitcoin (les projets se réclamant aujourd’hui de ponts ZK Bitcoin ne garantissent la vérification ZK que pour le transfert du BTC vers d'autres chaînes, mais pas son retour).
Les ponts dits « optimistes », représentés par BitVM, s’appuient sur des preuves de fraude afin d’assurer un traitement fidèle des messages. Toutefois, cette approche est extrêmement difficile à concrétiser. La grande majorité des ponts Bitcoin adoptent donc le modèle du témoin : quelques entités désignées hors chaîne vérifient et confirment tous les messages de transfert.
Les ponts DLC comme DLC.link introduisent l'idée de canaux de paiement par-dessus un système de multisig ou d'oracle, limitant ainsi autant que possible les scénarios de malveillance des témoins. Néanmoins, ils ne parviennent pas à éliminer complètement le risque inhérent au multisig.

Au final, on constate que, jusqu’à l’implémentation effective de BitVM, tous les ponts Bitcoin — sauf exceptions comme le réseau Lightning, les canaux de paiement ou RGB++ qui reposent sur une validation client ou un couplage isomorphe — sont fondamentalement basés sur du multisig.
L’histoire a déjà montré que tant que le problème de confiance des ponts multisig, voire des grandes plateformes de gestion d’actifs, ne sera pas résolu, il ne s’agira que d’un délai avant qu’un vol d’actifs ne survienne.
Certaines initiatives exigent des témoins un excès de mise en garantie (over-collateralization), avec une pénalité potentielle sous forme de slash, ou font appel à de grandes institutions comme témoins afin d’apporter une caution de confiance, atténuant ainsi les risques. Mais en dernière analyse, les ponts basés sur des témoins présentent un modèle de sécurité quasi identique à celui des portefeuilles multisig : ils reposent sur un seuil de décision M/N, offrant une tolérance aux pannes relativement limitée.

Comment configurer et gérer le multisig ? Comment le rendre aussi peu dépendant de la confiance que possible ? Comment empêcher les témoins de tricher ou augmenter considérablement le coût d’attaque pour un tiers malveillant ? Ce sont là des questions cruciales auxquelles les ponts Bitcoin de couche 2 devront continuellement s’attaquer.
Existe-t-il un moyen d’empêcher les participants multisig de conspirer et de protéger efficacement les clés contre le vol externe ? Bool Network tente de répondre à ces enjeux grâce à une solution intégrée combinant l’algorithme ZKP-RingVRF et le TEE.
Le réseau Bool : une infrastructure de calcul confidentiel conçue spécifiquement pour les ponts multichaînes
En réalité, que ce soit KYC, PoS ou PoW, l’objectif ultime est la décentralisation et la lutte contre les attaques Sybil, afin d’éviter que des pouvoirs critiques soient concentrés entre quelques mains. L’utilisation de multisig/MPC par-dessus PoA ou KYC peut certes atténuer les risques grâce à la caution apportée par de grandes institutions, mais ce modèle ne diffère guère fondamentalement d’un exchange centralisé : vous devez toujours faire confiance à ces témoins désignés pour ne pas détournent les fonds du pont. Il s’agit en somme d’une blockchain consortium, ce qui va à l’encontre même de l’esprit « sans confiance » (trustless) de la blockchain.
Les schémas multisig/MPC basés sur PoS sont plus décentralisés que ceux basés sur PoA, avec une barrière d’entrée bien plus faible. Toutefois, ils rencontrent d’autres difficultés, notamment la fuite de données personnelles des nœuds.
Imaginons un réseau de dizaines de nœuds agissant comme témoins pour un pont donné. Du fait des échanges fréquents de données, leurs clés publiques, adresses IP ou autres identifiants peuvent être exposés. Un attaquant peut alors concevoir une stratégie ciblée, menant souvent au vol des clés privées de certains nœuds. De plus, les témoins peuvent conspire entre eux, surtout si leur nombre est restreint.
Comment remédier à ces problèmes ? On pense naturellement à mieux protéger les clés contre l’espionnage extérieur. Une méthode robuste consiste à enfermer les clés dans un environnement d’exécution fiable (TEE).
Le TEE permet à un nœud d’exécuter des logiciels dans une zone sécurisée locale, inaccessible aux autres composants du système. Vous pouvez isoler des données sensibles ou des programmes dans cet environnement sécurisé, empêchant toute fuite ou manipulation malveillante des informations confidentielles.
Mais comment s’assurer qu’un témoin utilise effectivement le TEE pour stocker ses clés et générer des signatures ? En demandant simplement au témoin de fournir une preuve à distance (remote attestation) attestant de son exécution dans un TEE. Il suffit alors de vérifier cette attestation sur n’importe quelle chaîne, à un coût presque négligeable.

Bien sûr, le TEE ne règle pas tout. Même avec TEE, si le nombre total de témoins est faible — disons 5 —, de nouveaux problèmes surgissent. Même si les clés enfermées dans le TEE ne peuvent être « vues », un comité réduit de témoins ne garantit ni la résistance à la censure ni la disponibilité. Si ces 5 nœuds venaient à disparaître, le pont serait paralysé, rendant impossible le lock-mint ou le rachat des actifs — équivalent à un gel permanent des fonds.
Après avoir examiné divers facteurs tels que compatibilité, décentralisation et coût, Bool Network propose la conception suivante :
Grâce à un mécanisme de mise en gage d’actifs, construire un réseau de candidats-témoins sans permission (permissionless). Tout participant misant un montant suffisant peut rejoindre le réseau. Lorsque le réseau atteint une taille importante — plusieurs centaines, voire milliers de nœuds —, sélectionner périodiquement et aléatoirement des nœuds pour former les comités de témoins d’un pont multichaîne, évitant ainsi la « fossilisation » du pouvoir (approche similaire à celle d’Ethereum PoS actuel).
Comment assurer l’aléatoire de l’algorithme de sélection ? Les blockchains PoS classiques comme Algorand ou Cardano utilisent des fonctions VRF (fonction à sens unique à sortie vérifiable) pour produire périodiquement des nombres pseudo-aléatoires, puis désigner les producteurs de blocs selon ces résultats. Toutefois, les algorithmes VRF traditionnels ne protègent pas la vie privée : les participants au calcul VRF, ainsi que l’identité des élus associés au nombre aléatoire, sont largement exposés.

Or, la sélection dynamique des témoins pour un pont multichaîne pose des enjeux différents de celle des validateurs PoS. Dans une blockchain PoS, même si l’identité d’un producteur de bloc est connue, cela reste souvent anodin car les possibilités de malveillance sont limitées par diverses contraintes.
En revanche, si l’identité d’un témoin de pont est révélée, un pirate peut voler sa clé ou inciter les témoins à conspirer, mettant ainsi tout le fonds du pont en péril. En somme, les modèles de sécurité entre ponts multichaînes et blockchains PoS sont radicalement différents, et la confidentialité de l’identité des témoins doit être prioritaire.
Notre instinct serait de cacher la liste des témoins. C’est exactement ce que fait Bool Network grâce à un algorithme VRF en anneau original, masquant l’identité des témoins élus parmi l’ensemble des candidats. Le processus est complexe ; nous le simplifions ci-dessous :
1. Avant d’entrer dans le réseau Bool, chaque candidat doit miser des actifs sur Ethereum ou sur une chaîne propre à Bool, et déposer une clé publique comme information d’enregistrement. Cette clé est appelée « clé publique permanente ». L’ensemble de ces clés est public sur la chaîne. Elle constitue en pratique l’identité de chaque participant.
2. Toutes les quelques minutes à une demi-heure, le réseau Bool utilise une fonction VRF pour sélectionner aléatoirement des témoins. Avant cela, chaque candidat génère localement une « clé publique temporaire », accompagnée d’une preuve ZKP (zero-knowledge proof) démontrant que cette clé temporaire est liée à une clé publique permanente inscrite sur la chaîne. Autrement dit, il prouve cryptographiquement qu’il fait partie des candidats, sans révéler qui il est.
3. À quoi sert la « clé publique temporaire » ? À la protection de la vie privée. Si le tirage au sort se faisait directement sur les « clés publiques permanentes », la publication des résultats révélerait immédiatement les élus, affaiblissant gravement la sécurité.
En soumettant chacun une clé temporaire jetable, puis en tirant au sort parmi ces clés, un participant ne saura même pas s’il a été élu, car il ignore à qui correspondent les autres clés élues.
4. Ce n’est pas tout. Bool Network va encore plus loin : il empêche même le témoin de connaître sa propre « clé publique temporaire ». Comment ? En générant cette clé à l’intérieur du TEE, puis en l’encryptant en « code chiffré » avant de l’envoyer à l’extérieur.

On peut exécuter la génération de la « clé publique temporaire » directement dans le TEE. Puisque le TEE protège à la fois les données et les calculs, le propriétaire du nœud ignore complètement ce qui s’y passe. Une fois la clé générée, elle est chiffrée et envoyée hors du TEE. À ce stade, le participant ne connaît que le texte chiffré, pas la clé originale (notons que la preuve ZKP, qui lie la clé temporaire à la permanente, est aussi chiffrée et envoyée conjointement).
5. Les candidats doivent envoyer cette version chiffrée de leur « clé publique temporaire » à un nœud Relayer désigné. Le Relayer déchiffre ces textes codés et reconstitue l’ensemble des « clés publiques temporaires » en clair.
Problème : le Relayer connaît l’expéditeur de chaque message chiffré. En le décodant, il pourrait facilement associer chaque clé temporaire à son propriétaire. Pour éviter cela, cette opération doit aussi s’effectuer dans un TEE : les centaines de messages chiffrés entrent dans le TEE, ressortent en clair, comme dans un mixeur — garantissant ainsi une forte protection de la vie privée.
6. Une fois en possession des « clés publiques temporaires » en clair, le Relayer les regroupe et les soumet à la fonction VRF sur la chaîne, qui en sélectionne quelques-unes pour former le nouveau comité de témoins du pont multichaîne.
La logique globale est désormais claire : à intervalles réguliers, des témoins temporaires sont choisis aléatoirement parmi un ensemble de clés temporaires. Ce dispositif est baptisé DHC (Dynamic Hidden Committee).
Puisque chaque nœud exécute un TEE, les fragments de clés privées MPC/TSS, le programme central des témoins et tous les calculs restent cachés à l’intérieur du TEE. Personne ne connaît les détails des opérations, et même les élus ignorent qu’ils ont été choisis. Cela empêche fondamentalement toute collusion ou compromission externe.

Cycle de vie d’un message multichaîne dans Bool Network
Après avoir présenté la logique générale de masquage des identités et des clés des témoins, examinons maintenant le flux de travail de Bool Network. Supposons une chaîne source à gauche et une chaîne cible à droite. Le schéma ci-dessous illustre le cycle complet de transfert d’un actif de la source vers la cible. Analysons-en les quatre étapes principales du point de vue du flux de données :

Tout d’abord, lorsque l’utilisateur initie un retrait sur la chaîne source, le message est transmis par un Relayer à la couche de messagerie (Messaging Layer). Une fois arrivé, le comité dynamique valide le message — confirmant qu’il existe bel et bien sur la chaîne source et qu’il est valide — puis procède à sa signature.
On peut se demander : si personne ne sait s’il fait partie du comité, comment transmettre le message et obtenir les signatures requises ? La solution est simple : puisqu’on ignore qui sont les élus, on diffuse le message à tous via diffusion P2P.
Rappelons que chaque « clé publique temporaire » est générée et encapsulée localement dans le TEE, invisible à l’extérieur. Pour vérifier si sa clé temporaire a été sélectionnée, la logique est directement intégrée dans le TEE : il suffit d’injecter le message de transfert dans le TEE, et le programme interne décide automatiquement s’il faut signer ou non.

Une fois signé dans le TEE, la signature numérique ne peut pas être envoyée directement à l’extérieur : si un nœud envoie publiquement une signature, on pourrait deviner qu’il fait partie des témoins. Il faut donc cacher le fait même que quelqu’un a signé. La meilleure solution est de chiffrer la signature elle-même, comme précédemment pour la clé temporaire.
En résumé : Bool Network diffuse P2P le message à signer à tous les nœuds. Les témoins élus valident et signent le message à l’intérieur de leur TEE, puis diffusent la signature chiffrée. Les autres nœuds reçoivent ce chiffré, le remettent dans leur TEE pour le déchiffrer, et répètent le processus jusqu’à ce que tous les témoins élus aient signé. Enfin, le Relayer récupère toutes les parties et reconstruit la signature TSS dans son format initial, achevant ainsi la confirmation et la signature du message multichaîne.
L’essentiel est que presque toutes les opérations se déroulent à l’intérieur du TEE, rendant totalement opaque ce qui se passe depuis l’extérieur. Aucun nœud ne sait qui sont les témoins, ni même s’il en fait partie. Cela empêche radicalement toute collusion et augmente massivement le coût d’attaque externe.
Pour attaquer un pont multichaîne basé sur Bool Network, il faudrait identifier les membres du comité dynamique — or, ils sont inconnus. Vous seriez donc forcé d’attaquer l’intégralité du réseau Bool. Comparativement, des infrastructures comme ZetaChain, basées uniquement sur PoS et MPC, exposent complètement l’identité de leurs témoins. Avec un seuil de 100/200, il suffirait d’attaquer la moitié des nœuds.
Dans le cas de Bool, grâce à la protection de la vie privée, vous devriez théoriquement attaquer tous les nœuds. Et puisque chaque nœud exécute un TEE, la difficulté d’attaque est encore accrue.
Par ailleurs, Bool Network reste un pont à témoins : il suffit de soumettre une seule signature sur la chaîne cible pour finaliser le transfert, ce qui minimise les coûts. Sans conception superflue de chaîne relais comme Polkadot, évitant ainsi la redondance de la vérification de second niveau, Bool offre une rapidité élevée. Ce modèle répond simultanément aux besoins de transfert d’actifs et de messages, avec une excellente compatibilité.
Comment évaluer la conception produit de Bool ?
Nous formulons ici deux points de vue : premièrement, le transfert d’actifs est un produit orienté consommateur (ToC) ; deuxièmement, les ponts multichaînes sont davantage en concurrence qu’en coopération. À long terme, en raison des forts seuils technologiques et de la demande homogène, la concentration des fonds autour des protocoles multichaînes ne fera que croître, renforcée par des effets de réseau et des coûts de changement élevés.
Bool Network, en tant qu’infrastructure spécialisée plus fondamentale que les ponts eux-mêmes, dispose d’un potentiel commercial plus vaste que les projets de ponts situés au-dessus. Il pourrait même assumer les fonctions d’oracle, allant au-delà de la simple validation de messages multichaînes. Théoriquement, il peut entrer sur le marché des oracles multichaînes, construisant de véritables services d’oracle décentralisés et de calcul confidentiel.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News












