Analyse des perspectives de la mise à niveau technologique du protocole Ethereum (1) : The Merge

Cet article va décrypter la première partie de la feuille de route (The Merge), explorer les aspects techniques du mécanisme de preuve d’enjeu (PoS) qui peuvent encore être améliorés, ainsi que les moyens d’y parvenir.

Auteur : Ebunker

Depuis octobre de cette année, le cofondateur d’Ethereum, Vitalik Buterin, a publié une série d’articles sur les perspectives futures du protocole Ethereum, couvrant les six étapes de la feuille de route : The Merge, The Surge, The Scourge, The Verge, The Purge et The Splurge. Cet article va décrypter la première partie de la feuille de route (The Merge), explorer les aspects techniques du PoS qui peuvent encore être améliorés, ainsi que les moyens d’y parvenir.

Selon Vitalik, « The Merge » désigne l’événement le plus important de l’histoire du protocole Ethereum depuis son lancement : la transition du mécanisme de preuve de travail (PoW) vers la preuve d’enjeu (PoS). Aujourd’hui, Ethereum fonctionne comme un système PoS stable depuis près de deux ans, et ce mécanisme s’est révélé très performant en termes de stabilité, de performance et de prévention des risques de centralisation. Cependant, il reste des domaines importants à améliorer.

La feuille de route d’Ethereum pour 2023 la divise en plusieurs parties : amélioration des caractéristiques techniques (telles que la stabilité, la performance et l’accessibilité pour les petits validateurs), ainsi que des changements économiques pour contrer les risques de centralisation. Selon Vitalik, cet article ne constitue pas une liste exhaustive des améliorations possibles du PoS, mais plutôt un ensemble d’idées activement envisagées.

Les principaux objectifs de The Merge sont les suivants :

1. Finalité à slot unique (SSF) : actuellement, il faut environ 15 minutes pour qu’un bloc Ethereum soit définitivement validé. Cependant, il est possible de réduire considérablement ce délai en améliorant l’efficacité du mécanisme de consensus d’Ethereum. Un bloc pourrait être proposé et finalisé dans le même slot, sans attendre 15 minutes.

2. Confirmer et finaliser les transactions le plus rapidement possible, tout en maintenant la décentralisation

3. Améliorer la faisabilité du staking individuel

4. Renforcer la robustesse

5. Améliorer la résistance et la capacité de récupération d’Ethereum face à une attaque à 51% (y compris la réversion de la finalité, l’empêchement de la finalité et la censure)

Finalité à slot unique et démocratisation du staking

Actuellement, il faut 2 à 3 epochs (environ 15 minutes) pour finaliser un bloc, et il faut 32 ETH pour devenir validateur. Ce compromis a été fait initialement pour équilibrer trois objectifs :

• Maximiser le nombre de validateurs participants (minimiser l’ETH requis pour le staking) ;
• Minimiser le temps de finalité ;
• Minimiser les coûts d’exploitation des nœuds.

Ces trois objectifs sont en conflit : pour garantir la finalité économique (c’est-à-dire qu’un attaquant doit détruire une grande quantité d’ETH pour annuler la finalité d’un bloc), chaque validateur doit signer deux messages à chaque finalisation. Ainsi, si le nombre de validateurs est très élevé, il faut soit beaucoup de temps pour traiter toutes les signatures, soit des nœuds très puissants pour tout gérer simultanément.

Tout cela dépend d’un objectif clé d’Ethereum : s’assurer que même une attaque réussie coûte très cher à l’attaquant. C’est ce que signifie le terme « finalité économique ».

Il existe aussi des contre-exemples : certaines blockchains sans « finalité économique » (comme Algorand) utilisent un comité choisi aléatoirement pour finaliser chaque slot. Mais le problème de cette méthode est que si un attaquant contrôle effectivement 51% des validateurs, le coût de l’attaque est très faible : seuls certains nœuds du comité seront détectés et sanctionnés. Cela signifie que l’attaquant peut attaquer la chaîne à plusieurs reprises.

Ainsi, si Ethereum veut atteindre la finalité économique, une méthode simple basée sur un comité ne fonctionne pas, et la participation de l’ensemble des validateurs est nécessaire.

Idéalement, Ethereum souhaite améliorer la situation actuelle sur deux points tout en conservant la finalité économique :

1. Finaliser un bloc dans un seul slot (idéalement en maintenant ou en réduisant la durée actuelle de 12 secondes), au lieu de 15 minutes

2. Permettre aux validateurs de staker avec 1 ETH (au lieu de 32 ETH)

Le premier point permet à tous les utilisateurs d’Ethereum de bénéficier d’un niveau de sécurité supérieur grâce à la finalité. Aujourd’hui, la plupart des utilisateurs ne profitent pas de cette garantie car ils ne veulent pas attendre 15 minutes ; avec la finalité à slot unique, ils pourraient voir la finalité de leur transaction presque immédiatement après confirmation. De plus, si les utilisateurs et les applications n’ont plus à craindre un rollback de la chaîne, cela simplifie le protocole et l’infrastructure environnante.

Le second point vise à soutenir les stakers individuels. Selon de nombreux sondages, le principal obstacle au staking individuel est le seuil minimum de 32 ETH. Le réduire à 1 ETH résoudrait ce problème.

Un défi demeure : la finalité plus rapide et la démocratisation du staking sont en conflit avec l’objectif de minimiser les coûts. C’est d’ailleurs la raison pour laquelle Ethereum n’a pas adopté la finalité à slot unique dès le départ. Cependant, des recherches récentes ont proposé des solutions potentielles à ce problème.

Principe de fonctionnement :

La finalité à slot unique implique l’utilisation d’un algorithme de consensus qui finalise un bloc dans un slot. Ce n’est pas un objectif difficile à atteindre en soi, de nombreux algorithmes (comme le consensus Tendermint) l’ont déjà réalisé.

Une propriété unique d’Ethereum est l’« inactivity leak » : même si plus d’un tiers des validateurs sont hors ligne, cette propriété permet à la blockchain de continuer à fonctionner et de se rétablir.

Propositions pour la finalité à slot unique

Pour permettre à la finalité à slot unique de fonctionner avec un très grand nombre de validateurs sans entraîner des coûts d’exploitation de nœuds très élevés, plusieurs solutions principales existent :

La première option est la force brute, en développant de meilleurs protocoles d’agrégation de signatures, potentiellement avec des ZK-SNARKs, ce qui permettrait de traiter les signatures de millions de validateurs dans un slot. Par exemple, Horn est l’une des propositions visant à concevoir de meilleurs protocoles d’agrégation.

La deuxième option est le comité Orbit, un nouveau mécanisme permettant à un comité de taille moyenne, sélectionné aléatoirement, de gérer la finalité de la chaîne, tout en conservant le coût d’attaque élevé. Orbit exploite l’hétérogénéité préexistante dans la taille des dépôts des validateurs pour obtenir la plus grande finalité économique possible, tout en attribuant aux petits validateurs des rôles adaptés à leur taille.

Comme illustré ci-dessous, entre x=0 (comité Algorand, sans finalité économique) et x=1 (situation actuelle d’Ethereum), Orbit SSF ouvre une voie intermédiaire :

1. Le coût de la malveillance reste très élevé, garantissant une sécurité extrême ;

2. Mais en même temps, seul un échantillon aléatoire de validateurs de taille moyenne participe à chaque slot, allégeant la charge des nœuds.

La troisième option est le staking à deux niveaux, un mécanisme avec deux types de validateurs : ceux avec un dépôt élevé et ceux avec un dépôt faible. Seuls les validateurs du niveau élevé participent directement à la finalité économique. Quant aux droits et responsabilités des validateurs du niveau inférieur, plusieurs propositions existent, notamment :

• Le droit de déléguer leur mise à des validateurs de niveau supérieur ;
• La sélection aléatoire de validateurs de niveau inférieur pour attester et finaliser chaque bloc ;
• Le droit de générer des listes d’inclusion, etc.

Pour l’expérience de sécurité d’Ethereum et la centralisation du staking, chaque solution présente des avantages, des inconvénients et des compromis : la force brute peut résoudre le problème mais nécessite d’agréger un grand nombre de signatures en très peu de temps, ce qui est très complexe techniquement ; le comité Orbit doit prouver sa sécurité et ses caractéristiques, puis être formalisé et mis en œuvre ; le staking à deux niveaux comporte un risque de centralisation, qui dépend fortement des droits accordés au niveau inférieur.

Outre la finalité à slot unique, l’élection d’un leader secret unique est également un enjeu important dans le système PoS d’Ethereum. Aujourd’hui, on peut savoir à l’avance quel validateur proposera le prochain bloc, ce qui crée une faille de sécurité : un attaquant peut surveiller le réseau, identifier les adresses IP des validateurs, puis lancer une attaque DoS contre eux au moment où ils doivent proposer un bloc.

La meilleure solution consiste à cacher l’identité du validateur qui générera le prochain bloc, au moins jusqu’à ce que le bloc soit effectivement produit.

Élection d’un leader secret unique

Actuellement, il est possible de savoir à l’avance quel validateur proposera le prochain bloc, ce qui crée une faille de sécurité : un attaquant peut surveiller le réseau, identifier les adresses IP des validateurs, puis lancer une attaque DoS contre eux au moment où ils doivent proposer un bloc.

Le protocole d’élection d’un leader secret unique utilise des techniques cryptographiques pour créer un identifiant « aveugle » pour chaque validateur, puis permet à de nombreux proposeurs de réorganiser et de ré-aveugler le pool d’identifiants, résolvant ainsi ce problème.

Cependant, il n’est pas facile de mettre en œuvre un protocole d’élection de leader secret unique suffisamment simple.

La simplicité du protocole Ethereum est essentielle, il ne faut pas ajouter de complexité inutile. L’utilisation de signatures en anneau pour une version simplifiée du SSLE (Simplified SSLE using ring signatures) ne nécessite que quelques centaines de lignes de code de spécification, mais introduit de nouvelles hypothèses cryptographiques complexes.

Comment réaliser un SSLE résistant aux attaques quantiques de manière suffisamment efficace reste également une question. Il se pourrait qu’il ne devienne réalisable que lorsque, pour d’autres raisons, nous osons introduire des mécanismes d’exécution de preuves à connaissance nulle universelles dans le protocole Ethereum L1, ce qui réduirait la « complexité marginale » du SSLE à un niveau acceptable.

Par ailleurs, la confirmation plus rapide des transactions est aussi un enjeu à résoudre pour le système PoS d’Ethereum.

Réduire encore le temps de confirmation des transactions sur Ethereum (de 12 secondes à 4 secondes) serait bénéfique. Cela améliorerait considérablement l’expérience utilisateur sur L1 et pour les rollups, tout en rendant les protocoles DeFi plus efficaces. Cela rendrait aussi les L2 plus décentralisés, car cela permettrait à de nombreuses applications L2 de fonctionner sur des rollups, réduisant ainsi le besoin pour les L2 de construire leur propre séquenceur décentralisé basé sur un comité.

Il existe deux principales approches techniques : réduire la durée du slot à 8 ou 4 secondes ; permettre aux proposeurs de publier des pré-confirmations pendant un slot unique. Cependant, la faisabilité de la réduction du temps de slot n’est pas encore claire.

Même aujourd’hui, il est difficile pour de nombreux validateurs dans le monde d’obtenir des preuves assez rapidement. Réduire le slot à 4 secondes comporte un risque de centralisation des validateurs, et en dehors de quelques régions géographiquement favorisées, il serait irréaliste de devenir validateur à cause de la latence.

La faiblesse de la méthode de pré-confirmation du proposeur est qu’elle améliore considérablement le temps d’inclusion moyen, mais pas le pire cas. De plus, il reste à résoudre la question de l’incitation à la pré-confirmation.

Face à la menace potentielle de l’informatique quantique, Ethereum doit activement développer des alternatives résistantes aux attaques quantiques. Chaque partie du protocole Ethereum qui dépend actuellement des courbes elliptiques doit disposer d’une alternative basée sur le hachage ou d’autres mécanismes résistants aux attaques quantiques. Cela justifie l’approche conservatrice dans les hypothèses de performance du design du PoS, et explique pourquoi il est nécessaire de développer activement des alternatives résistantes aux attaques quantiques.

Résumé

Le système de preuve d’enjeu d’Ethereum fait face à de nombreux défis techniques. En raison du seuil élevé pour le staking individuel, les fournisseurs de services de staking comme Lido sont devenus le choix privilégié pour le staking de nœuds Ethereum, et la solution de staking à deux niveaux comporte un certain risque de centralisation. Pour relever ces défis, la finalité à slot unique et la démocratisation du staking, l’élection d’un leader secret unique, la confirmation plus rapide des transactions et le développement d’alternatives résistantes aux attaques quantiques sont autant de questions importantes à traiter pour Ethereum.

Vitalik a mené une réflexion approfondie sur la mise à niveau « The Merge » et proposé autant de solutions techniques que possible, discutant du potentiel de conception du PoS d’Ethereum et des voies d’amélioration technique actuellement envisageables.

Au cours de la mise à niveau technique, Ethereum continue d’explorer et d’innover, en pesant et en choisissant entre différentes solutions techniques afin de trouver la voie de développement la plus adaptée, pour atteindre un niveau supérieur de sécurité, de performance et de décentralisation.