Point de vue : La sécurité des L2 n'est plus réellement assurée par Ethereum

Auteur : Ishita

Traduction : TechFlow

Le développement d’Ethereum au cours de la dernière décennie s’est articulé autour d’une promesse simple : étendre le réseau sans sacrifier la décentralisation. Selon sa feuille de route, la réponse réside dans un avenir centré sur les Rollups. Dans cette architecture, les réseaux Layer 2 (L2 ou « Rollups ») exécutent les transactions hors chaîne, permettant des coûts plus faibles et un débit plus élevé, tout en tirant leur sécurité fondamentale d’Ethereum en tant que couche de base (Layer 1).

Presque tous les principaux projets de Rollup, y compris Arbitrum, Optimism, Base, zkSync et Scroll, placent « sécurisé par Ethereum » au cœur de leur marque. Ce slogan est puissant et constitue le pilier de leur discours marketing, mais est-il vraiment fidèle à la réalité ? Une analyse approfondie du fonctionnement réel de ces Rollups et des flux d’actifs en leur sein rend cette affirmation ambiguë.

Cet article dissèque l’écart entre le slogan et la réalité, en commençant par le bridging (là où se trouvent les fonds des utilisateurs), puis les séquenceurs (qui ordonnent les transactions), et enfin la gouvernance (les faiseurs de règles).

La réalité des bridges de Rollup

Les Rollups prétendent être « sécurisés par Ethereum », mais cette affirmation masque la manière dont les utilisateurs interagissent réellement avec ces systèmes.

Pour utiliser un Rollup, que ce soit pour la DeFi, les paiements ou les applications, il faut d’abord transférer des actifs sur le Rollup. Cependant, Ethereum ne dispose pas de fonctionnalités intégrées pour des transferts directs entrants ou sortants — vous ne pouvez pas simplement « téléporter » de l’ETH vers un Rollup. C’est là qu’interviennent les bridges. Les bridges sont les points d’entrée et de sortie entre Ethereum et les Rollups, et déterminent la sécurité réellement ressentie par les utilisateurs.

Comment fonctionnent les bridges

Dépôt

Lorsque vous déposez de l’ETH sur un rollup, vous l’envoyez en réalité vers un contrat bridge sur Ethereum. Ce contrat verrouille votre ETH et indique au rollup de créditer le même montant d’ETH sur votre portefeuille L2. Par exemple, si vous déposez 1 ETH, le contrat bridge conserve ce 1 ETH en sécurité sur Ethereum, et votre compte rollup affiche également 1 ETH. Comme l’ETH est verrouillé sur Ethereum, ce dépôt est réalisé avec une confiance minimale.

Retrait

Le retrait est beaucoup plus complexe. Le processus est l’inverse du dépôt :

1. Vous détruisez (ou verrouillez) des tokens sur le Rollup.

2. Vous envoyez un message au contrat bridge sur Ethereum : j’ai détruit des tokens sur L2, veuillez libérer mon ETH verrouillé.

3. Le problème est le suivant : Ethereum ne peut pas voir ce qui se passe à l’intérieur du Rollup, il ignore les calculs L2.

Ainsi, Ethereum ne libérera vos fonds que si le bridge fournit une preuve que le retrait est légitime. Cette preuve peut inclure :

• Fraud Proofs (preuves de fraude, solution optimiste) : on suppose par défaut que la transaction est légitime, sauf si elle est contestée pendant une fenêtre de litige.

• Validity Proofs (preuves de validité, solution zero-knowledge) : une preuve cryptographique démontre à l’avance que toutes les transactions respectent les règles, permettant à Ethereum de faire confiance immédiatement au résultat.

• Multisigs ou comités : s’appuie sur des parties de confiance pour certifier.

Le bridge est la clé d’accès des utilisateurs au Rollup. On peut le comparer à une fenêtre pour entrer dans une maison. Même si la fenêtre (le bridge) est cassée, la maison (le Rollup) reste debout. Mais si la fenêtre est brisée, vous ne pouvez plus entrer ou sortir en toute sécurité. De même, une panne du bridge coupe l’accès des utilisateurs, même si le mécanisme central du Rollup fonctionne toujours.

Ainsi, la couche bridge est la véritable perspective de la sécurité des Rollups. Le fait que les actifs soient réellement « sécurisés par Ethereum » dépend du bridge utilisé et de son modèle de confiance, et non du Rollup lui-même.

Modèles de bridge et leurs hypothèses

• Bridges officiels (Canonical Bridges) Les bridges officiels sont les « bridges officiels de chaque Rollup » directement liés à Ethereum. Lorsque les utilisateurs verrouillent des actifs ici, les validateurs d’Ethereum garantissent que même si le L2 cesse de fonctionner, les utilisateurs pourront finalement retirer leurs fonds sur la Layer 1. C’est la seule méthode de bridge qui hérite directement des propriétés de sécurité d’Ethereum.

• Bridges externes (External Bridges) Des bridges externes comme Wormhole, LayerZero et Axelar optimisent l’expérience utilisateur via des transferts rapides inter-chaînes, mais reposent sur leurs propres comités de validateurs ou mécanismes multisig. Ces bridges ne sont pas soumis à l’exécution du consensus d’Ethereum. Si ces opérateurs hors chaîne sont piratés ou agissent de connivence, les utilisateurs peuvent perdre leurs fonds même si Ethereum fonctionne correctement.

• Émission native (Native Issuance) Désigne les tokens émis directement sur le Rollup, comme l’USDC sur Base ou l’OP sur Optimism. Ces actifs n’ont jamais transité par un bridge officiel et ne peuvent pas être rachetés sur la Layer 1. Leur sécurité dépend de la gouvernance et de l’infrastructure du Rollup, et non d’Ethereum.

Répartition réelle des actifs sur les Rollups

Au 29 août 2025, les Rollups Ethereum protègent environ 43.96 milliards de dollars d’actifs, répartis comme suit :

• Bridges externes : 16.95 milliards de dollars (39 %) — la plus grande part

• Bridges officiels : 14.81 milliards de dollars (34 %) — actifs garantis par Ethereum

• Émission native : 12.20 milliards de dollars (27 %) — actifs natifs des Rollups

Analyse des tendances historiques

Entre 2019 et 2022, les bridges officiels étaient le principal moteur de l’adoption des Rollups. Presque toute la croissance initiale est passée par les bridges officiels, maintenant Ethereum comme noyau central.

Cependant, à partir de la fin 2023, la situation a commencé à changer :

• Les bridges officiels ont continué de croître, mais leur part de marché a commencé à diminuer, atteignant un pic en 2024.

• L’émission native s’est progressivement étendue, en particulier entre 2024 et 2025.

• Les bridges externes ont connu une croissance rapide à partir de la fin 2023, dépassant les bridges officiels début 2025, marquant la perte par Ethereum de la majorité des actifs des Rollups.

• Aujourd’hui, les deux tiers des actifs des Rollups (externes + natifs) ne bénéficient plus de la garantie de sécurité directe d’Ethereum.

Détail de l’écosystème Rollup

Le marché est extrêmement concentré : les six plus grands Rollups représentent 93,3 % du TVL total. La répartition des actifs par écosystème est la suivante :

• Bridges officiels : 32,0 %

• Émission native : 28,8 %

• Bridges externes : 39,2 %

Analyse générale des diagrammes circulaires

• Domination des bridges externes : comme Arbitrum et Unichain, les utilisateurs recherchent des sorties rapides et de la liquidité, préférant les bridges tiers.

• Domination des bridges officiels : comme Linea (et dans une moindre mesure OP Mainnet), davantage de collatéraux provenant de L1 transitent par les bridges officiels.

• Domination de l’émission native : comme zkSync Era et Base, où les actifs sont émis directement sur L2 (par exemple, l’USDC natif sur Base) et affluent via des points d’entrée directs.

Point clé : La majorité des actifs des grands Rollups ne sont plus couverts par la sécurité directe d’Ethereum. La sécurité réelle pour les utilisateurs dépend du mécanisme de confiance derrière chaque modèle de bridge, et non du Rollup lui-même.

Au-delà du bridge : quels autres risques existent ?

Le modèle de bridge détermine la propriété des actifs, mais même si tous les actifs passent par des bridges officiels, les utilisateurs restent exposés à d’autres vulnérabilités de confiance et de sécurité. Trois domaines sont particulièrement importants : le mécanisme d’ordonnancement des transactions, la structure de gouvernance et l’impact de la composabilité sur l’expérience utilisateur.

1. Séquenceur : point de contrôle centralisé

Le séquenceur décide de l’ordre et du regroupement des transactions. Actuellement, la grande majorité des Rollups utilisent des séquenceurs centralisés, une conception à la fois efficace et lucrative, mais qui comporte les risques suivants :

• Censure des transactions : le séquenceur peut refuser d’inclure certaines transactions, permettant la censure.

• Blocage des retraits : le séquenceur décide quand envoyer en lot les transactions de retrait vers Ethereum, et peut donc bloquer indéfiniment les retraits.

• Panne totale : une panne du séquenceur suspend l’activité du Rollup jusqu’à sa remise en ligne. (Par exemple, Arbitrum a connu une panne de 78 minutes)

Ethereum propose un mécanisme de « force inclusion », permettant aux utilisateurs de soumettre directement des transactions à la Layer 1 pour contourner le séquenceur. Cependant, ce mécanisme ne garantit pas l’équité, car le séquenceur contrôle toujours l’ordre des blocs, ce qui suffit à nuire à l’expérience utilisateur. Par exemple :

• Supposons que vous essayez de retirer des fonds d’Aave sur L2.

• Vous soumettez une demande de retrait via force inclusion sur Ethereum, ce qui signifie que le séquenceur ne peut ignorer votre transaction.

• Cependant, le séquenceur peut insérer ses propres transactions avant la vôtre — par exemple, emprunter davantage de fonds du même pool.

• Lorsque votre transaction de retrait est exécutée, le pool n’a plus assez de liquidité, et le retrait échoue.

• Votre transaction a bien été « incluse », mais le résultat est compromis.

De plus, la force inclusion pose des problèmes pratiques : le délai d’attente peut atteindre plusieurs heures (parfois plus de 12 heures), le débit est limité, et même après soumission, l’ordre peut être modifié. Ce mécanisme ressemble donc davantage à une soupape de sécurité lente qu’à une garantie d’exécution équitable.

Les séquenceurs décentralisés suscitent un intérêt croissant. Par exemple, des projets comme Espresso et Astria construisent des réseaux de séquenceurs partagés pour améliorer la résilience et l’interopérabilité.

L’une des idées centrales est la « pré-confirmation » : le séquenceur ou le réseau partagé peut s’engager à inclure une transaction à l’avance, même si elle n’est pas encore finalisée sur Ethereum. Cela réduit la latence induite par la décentralisation, offrant une garantie plus rapide tout en maintenant la neutralité.

Néanmoins, les séquenceurs centralisés restent dominants car ils sont simples, rentables et plus attrayants pour les institutions — du moins tant que la concurrence ou la demande des utilisateurs ne les oblige pas à évoluer.

2. Risques de gouvernance et d’incitations : L2 à l’esprit d’entreprise

L’opérateur du Rollup est un facteur crucial. De nombreux Rollups majeurs sont exploités par des entreprises ou des équipes soutenues par des fonds de capital-risque, comme Base de Coinbase, Arbitrum d’Offchain Labs, ou Optimism d’OP Labs.

La priorité de ces équipes est de rendre des comptes à leurs actionnaires et investisseurs, et non au contrat social d’Ethereum.

• Responsabilité envers les actionnaires → Pression sur la rentabilité : des frais initiaux faibles pour attirer les utilisateurs, puis une hausse des frais à mesure que la liquidité et les applications sont verrouillées (modèle classique de « taxe de plateforme »). À l’avenir, on pourrait voir apparaître des frais de séquenceur plus élevés, des intégrations prioritaires ou des règles favorisant l’activité globale de l’opérateur.

• Effet de verrouillage → Effet de levier : à mesure que des milliards de dollars de TVL et d’utilisateurs s’accumulent, le coût de sortie augmente, permettant à l’opérateur de modifier l’économie ou la politique avec un risque de migration limité.

• Décalage culturel : Ethereum repose sur des réunions de développement ouvertes, la diversité des clients et une gouvernance ouverte (comme les EIP). Les Rollups d’entreprise privilégient une gestion descendante, disposent souvent de clés d’administration ou de multisigs pouvant suspendre, mettre à jour ou geler le système — priorisant la conformité ou la rentabilité plutôt que la neutralité. Avec le temps, ces Rollups pourraient ressembler davantage à des « jardins clos » qu’à l’écosystème ouvert d’Ethereum.

Le résultat est un écart croissant entre l’esprit ouvert d’Ethereum et les incitations qui façonnent les Rollups d’entreprise. Cet écart affecte non seulement la gouvernance, mais aussi la manière dont les applications interagissent et l’expérience utilisateur du système.

3. Composabilité et expérience utilisateur

La « magie » d’Ethereum réside dans la composabilité atomique : les smart contracts peuvent lire et écrire de manière synchrone lors d’une seule transaction (par exemple, échanger des actifs sur Uniswap, rembourser une dette Aave et déclencher une action Maker en une seule opération). Cependant, les L2 brisent cette composabilité :

• Asynchronisme : les messages inter-Rollup sont retardés, les retraits officiels peuvent prendre plusieurs jours, et les bridges tiers ajoutent des hypothèses de confiance.

• Isolement : la liquidité et l’état sont fragmentés entre différents L2, affaiblissant l’expérience DeFi transparente d’Ethereum.

Quelle est la solution ?

Les rollups natifs d’Ethereum (conçus et gouvernés selon les standards Layer-1) peuvent permettre la lecture synchrone L2→L1, l’écriture synchrone L1→L2, ainsi que l’écriture atomique inter-rollup, restaurant ainsi la majeure partie de la composabilité Layer-1 tout en étendant l’espace de bloc. Sans ces fonctionnalités, l’expérience utilisateur (UX) se rapprochera de plus en plus des couches pratiques non sécurisées par Ethereum.

L’avenir des Rollups

Pour que la « sécurité Ethereum » soit plus qu’un slogan, sa sécurité fondamentale doit reposer sur la Layer 1, et non sur des comités hors chaîne ou des séquenceurs d’une seule entreprise. Trois concepts de conception illustrent cette tendance :

Rollup natif : validation entièrement transférée à Ethereum

• Contrairement à l’exigence pour les utilisateurs de faire confiance à des systèmes de preuves de fraude indépendants, à des zk provers non audités ou à des comités de sécurité, le Rollup fournit une trace de transaction que Ethereum peut réexécuter lui-même.

• En pratique, cela fait du retrait et de la validité de l’état un droit Layer 1, et non une promesse : si le Rollup affirme que votre solde est X, Ethereum peut le vérifier directement.

• Cette conception réduit la surface d’attaque des bridges, diminue le besoin de clés de pause et maintient la compatibilité du Rollup avec les futures mises à jour d’Ethereum.

• Le compromis est un coût plus élevé sur la Layer 1, mais l’avantage est simple : en cas de litige, la Layer 1 tranche.

• Aucun Rollup natif n’est encore en ligne à ce jour.

Rollup à ordonnancement par validateurs Ethereum

• Actuellement, un séquenceur unique peut réordonner ou retarder les transactions, ce qui suffit à compromettre le mécanisme de « force inclusion » en pratique.

• Avec une conception basée sur l’ordonnancement, l’ordre canonique des transactions est déterminé par le consensus Layer 1, rendant la censure et le réordonnancement de dernière minute beaucoup plus difficiles.

• La force inclusion devient une voie normale, et non une soupape de sécurité lente. Les projets peuvent ajouter des « pré-confirmations » pour maintenir une UX fluide, tout en laissant la Layer 1 comme arbitre final de l’ordre.

• Ce modèle sacrifie une partie des revenus et de la flexibilité Layer 2, mais élimine le principal point de contrôle unique de l’architecture actuelle.

• Les équipes principales travaillant sur des Rollups à ordonnancement incluent Taiko, Spire et Puffer.

Rollup de stockage de clés : résoudre les risques liés aux clés et aux mises à jour

• Au lieu que chaque Rollup et application gère indépendamment la récupération de compte, les clés de session et la rotation des clés, un Rollup de « stockage de clés » minimaliste standardise cette logique et la synchronise partout.

• L’utilisateur peut faire tourner ou récupérer ses clés à un seul endroit, et les changements se propagent à tous les Layer 2. Les opérateurs ont besoin de moins de clés d’urgence, les administrateurs de moins de commutateurs « god-mode ».

• Le résultat final : moins de portefeuilles compromis, moins de mises à jour d’urgence après incident, et une séparation plus claire entre la sécurité du compte et la logique applicative.

• La conception des Rollups de stockage de clés n’est pour l’instant qu’au stade théorique et n’a pas encore été mise en ligne.

En résumé, ces concepts de conception répondent aux problèmes réels rencontrés par les utilisateurs : mécanismes de retrait basés sur la confiance, ordonnancement des transactions contrôlé par une seule entreprise, et chemins d’accès aux clés et mises à jour fragiles.

Intégrer la validation, l’ordonnancement et la sécurité des comptes dans le système Ethereum est la manière pour les Rollups de réaliser la promesse « sécurisé par Ethereum » — et pas seulement un slogan marketing.