Optimism, een belangrijk onderdeel van het Ethereum-ecosysteem, heeft onlangs een terugval gemaakt naar een meer gecontroleerd systeem van fraudebewijzen. Dit gebeurde na het ontdekken van verschillende beveiligingsproblemen tijdens door de gemeenschap aangestuurde audits. Het systeem van toestemmingloze fraudebewijzen, dat gebruikers in staat stelt om mogelijk frauduleuze of incorrecte transacties aan te vechten op layer-2-netwerken, werd op 10 juni 2024 geïntroduceerd. Dit was een belangrijke stap naar de gedecentraliseerde status die Ethereum-oprichter Vitalik Buterin omschrijft als “Stage 1” decentralisatie, ook wel “beperkte trainingswielen” genoemd.

Het toestemmingloze systeem was ontworpen om iedere gebruiker de mogelijkheid te geven om transacties te betwisten, in tegenstelling tot systemen waar alleen vertrouwde partijen deze bevoegdheid hebben. Echter, iets meer dan twee maanden na de lancering werd besloten om het systeem terug te schakelen naar een toestemming vereist model. Dit gebeurde nadat audits enkele kwetsbaarheden in het systeem blootlegden, waarvan sommige als hoog risico werden geclassificeerd.

Een vertegenwoordiger van OP Labs, een bijdragende partij van Optimism, diende een voorstel in bij het governance forum van Optimism. Hierin werd uitgelegd waarom de terugval noodzakelijk was en werden de ontdekte kwetsbaarheden toegelicht. Hoewel geen van de kwetsbaarheden is misbruikt en de activa van gebruikers nooit in gevaar zijn geweest, werd uit voorzorg besloten om de toestemming vereiste modus te activeren. Dit moest mogelijke instabiliteit voorkomen terwijl de kwetsbaarheden worden opgelost.

Van de ontdekte problemen werden er twee als van hoge ernst beschouwd, volgens de schaal van ImmuneFi, het beloningsprogramma voor het melden van beveiligingsproblemen. OP Labs heeft aangegeven dat de gevonden problemen niet van invloed zijn geweest op de veiligheid van gebruikersfondsen en dat alle problemen detecteerbaar waren via de monitoringtools van Optimism.

Interessant is dat bepaalde contracten, zoals die gerelateerd aan het “dispute game” en de MIPS-contracten, buiten het bereik van de audit vielen. Deze contracten vallen in de categorie “levensvatbaarheid/reputatierisico”, waarvoor audits niet verplicht zijn. Dankzij de ingebouwde noodmechanismen zouden eventuele fouten gemakkelijk hersteld kunnen worden zonder risico voor de fondsen van gebruikers.

Het voorstel van OP Labs plant een netwerkupgrade, genaamd “Granite,” die gepland staat voor 10 september 2024 om 16:00:01 UTC. Deze upgrade zal onder andere een hard fork van het layer-2-netwerk omvatten. Hoewel deze hard fork zelf niet is geauditeerd, geeft OP Labs aan dat hun interne beveiligingsbeoordeling de wijzigingen als laag risico beschouwt.

Met de Granite-upgrade zet Optimism een volgende stap in het verbeteren van de veiligheid en stabiliteit van het netwerk, terwijl het de balans tussen decentralisatie en beveiliging blijft bewaken.