Architecture réseau traditionnelle

Le protocole de passerelle frontalière (BGP) est responsable du routage des données entre les périphériques dans le système Internet actuel. Pensez à BGP comme au service postal de l'Internet: lorsque les données sont envoyées à travers le réseau, BGP trouve toutes les routes possibles vers la destination et choisit la meilleure.

Chaque appareil connecté à Internet appartient à un système autonome (SA), un petit réseau qui connecte plusieurs appareils et est généralement géré par une seule organisation, telle qu'une école, une entreprise ou un gouvernement. Les appareils du même SA partagent les mêmes politiques de routage, ce qui signifie que si deux appareils du même SA veulent se connecter à un serveur externe, leurs données suivront le même chemin. Essentiellement, les SA agissent comme des bureaux de poste régionaux, organisant et routant des paquets de données vers leurs destinations à l'aide de BGP.

Cependant, les AS ne sont pas des réseaux entièrement peer-to-peer. Chaque AS ne se connecte qu'à ses voisins et annonce les routes qu'il peut atteindre. Par exemple, si un paquet de données doit voyager de l'AS1 à l'AS4, il existe deux itinéraires possibles :

1. AS1 → AS2 → AS3 → AS4
2. AS1 → AS5 → AS5

Étant donné que le chemin à travers la Route 2 est plus court, BGP choisira automatiquement cette route. Si la route 2 est interrompue pour une raison quelconque, BGP recalculera et choisira une nouvelle meilleure route pour transmettre les données. BGP fonctionne comme un navigateur automatique, enregistrant les meilleures routes vers d'autres AS, donc une fois que le terminal initie la transmission de données, BGP peut l'envoyer automatiquement à la destination à la vitesse la plus rapide.

Cependant, le BGP a été initialement développé pour permettre à seulement quelques ordinateurs d'échanger des données, sans tenir compte de problèmes tels que la sécurité et le trafic. En conséquence, il existe certaines préoccupations concernant son utilisation. Tout d'abord, d'un point de vue de la sécurité, étant donné que le chemin de transmission est sélectionné automatiquement par le BGP et que les utilisateurs ne peuvent pas l'ajuster de manière proactive, il devient vulnérable aux attaques. Par exemple, les attaquants peuvent mettre en place un AS malveillant et annoncer des informations d'acheminement incorrectes, conduisant les données vers une destination erronée et entraînant une interception des données ou une interruption du réseau.

D'un point de vue de l'efficacité, une fois qu'il y a des changements dans la configuration globale d'un AS, BGP a besoin de temps pour mettre à jour toutes les informations de routage. Certains chemins peuvent devenir indisponibles pendant ce processus, entraînant des retards et des pertes de paquets. De plus, BGP n'a pas de mécanisme intégré d'équilibrage de charge du trafic. Bien qu'il sélectionne le chemin le plus court, si le débit de ce chemin dépasse sa capacité, BGP ne répartira pas le trafic uniformément sur d'autres chemins à moins que la configuration de l'AS ne change.

Les problèmes potentiels liés au BGP ont causé des événements réseau significatifs. Par exemple, en 2008, les télécommunications pakistanaises, sous la juridiction du gouvernement, ont tenté de censurer l'IP de YouTube dans le pays. Son fournisseur d'accès internet en amont a diffusé par erreur des informations de routage incorrectes sur internet, ce qui a entraîné le routage de tout le trafic global de YouTube vers les télécommunications pakistanaises, provoquant une interruption mondiale du service YouTube.

De plus, en plus des entreprises Web2, les attaquants peuvent également voler les actifs de cryptomonnaie des utilisateurs grâce à des attaques BGP. En 2018, les attaquants ont lancé une attaque de détournement de BGP qui a redirigé le trafic visitant le portefeuille MyEther vers un serveur malveillant, trompant les utilisateurs pour qu'ils accèdent à un site de phishing, volant leurs actifs de portefeuille et les transférant aux portefeuilles des attaquants. Cette attaque a duré environ deux heures et a entraîné le vol de 214 Ether, d'une valeur de plus de 150 000 $. Cela montre que le BGP est devenu l'un des plus grands problèmes auxquels les entreprises et les sociétés font face, ce qui a conduit au développement d'un nouveau protocole de réseau, SCION.

Qu'est-ce que SCION?

SCION (Scalabilité, Contrôle et Isolation sur les Réseaux de Nouvelle Génération) est une architecture de réseau qui améliore la sécurité et les performances d'Internet. Elle a été développée par l'ETH Zurich et sa filiale Anapaya Systems pour résoudre différents problèmes de sécurité dans les architectures de réseau existantes.

Tout d'abord, SCION introduit le concept de domaines d'isolation (ISD), où chaque ISD est composé de plusieurs AS dans la même juridiction ou zone géographique, et une entité de confiance est sélectionnée pour faire fonctionner le noyau AS gérant l'ISD. Chaque ISD dispose de son infrastructure de clés publiques (PKI) pour vérifier les identités entre les AS, garantissant qu'aucun AS malveillant n'est inclus, et permettant une communication chiffrée pour améliorer la sécurité. En plus de garantir que les AS au sein d'un ISD sont dignes de confiance, les ISD agissent comme des pare-feu sur Internet. Si une violation de sécurité se produit, son impact est limité à l'ISD affecté et ne se propagera pas dans l'ensemble du réseau, empêchant efficacement les attaques ou pannes réseau à grande échelle.

Pour la transmission de données, SCION dispose d'un mécanisme de preuve de chemin, où les informations de chaque chemin sont cryptées et signées, et chaque AS du chemin vérifie l'authenticité de la route à laquelle il participe, empêchant toute altération non autorisée. De plus, SCION offre plusieurs choix de routes pour la transmission de données, permettant aux utilisateurs d'évaluer différents chemins en fonction de la latence, de la bande passante, de la sécurité, etc., et de choisir la route la plus adaptée. De cette façon, le trafic réseau ne sera pas congestionné sur un seul chemin, améliorant ainsi efficacement l'efficacité de la transmission des données.

Comparé à BGP, les ISD de SCION permettent de vérifier l'origine et l'authenticité de chaque AS, et les problèmes de sécurité sont contenus dans un petit périmètre, améliorant considérablement la sécurité et la stabilité du réseau. De plus, contrairement à BGP, qui sélectionne automatiquement les itinéraires pour les utilisateurs, SCION donne aux utilisateurs un contrôle total sur le chemin de transmission, offrant plusieurs options de route. Les utilisateurs peuvent voir les AS par lesquels le chemin passera et intégrer le chemin sélectionné dans les paquets de données, ce qui permet à chaque AS sur le chemin d'être conscient de la prochaine étape, libérant ainsi l'espace de stockage du routeur et évitant les retards causés par la mise à jour de la table de routage.

L'impact de SCION sur le réseau SUI

Actuellement, tous les réseaux blockchain, qu’il s’agisse de la couche 1, de la couche 2 ou des blockchains modulaires, s’appuient sur le protocole BGP pour la communication entre les nœuds. Cela signifie que toutes les blockchains sont exposées aux risques de sécurité potentiels de BGP. Au fil des ans, il y a eu plusieurs attaques BGP très médiatisées. Par exemple, en 2018, des attaquants ont détourné BGP pour rediriger le trafic vers des serveurs malveillants, incitant les utilisateurs à visiter des sites Web de phishing et à voler des actifs de leurs portefeuilles MyEther, transférant ainsi les fonds volés aux attaquants. Cette attaque a duré deux heures et s’est soldée par le vol de 214 Ether, d’une valeur de plus de 150 000 dollars à l’époque. En 2022, KLAYswap a été piraté par le biais d’une attaque de détournement BGP qui a modifié les liens tiers sur le front-end, obligeant les utilisateurs à autoriser des adresses malveillantes et à voler environ 1,9 million de dollars d’actifs.

Au-delà du vol d'actifs, les attaquants peuvent manipuler BGP pour contrôler le routage, augmenter les retards de communication entre les nœuds, voire même bloquer complètement les chemins de transmission. Cela peut avoir un impact important sur la vitesse du consensus de la blockchain, entraînant des arrêts de réseau et sapant la sécurité du consensus. Le consensus est essentiel au bon fonctionnement des blockchains, prévenant des problèmes tels que la double dépense et la falsification de registres et garantissant que le réseau reste fiable. Par exemple, Solana a connu une période d'indisponibilité importante dans le passé, suscitant des questions sur sa sécurité.

Pour atténuer les risques posés par le BGP, Sui a décidé de collaborer avec Anapaya Systems pour mettre en place l'infrastructure SCION, qui fonctionne maintenant sur leur testnet. Cette mise à niveau devrait apporter plusieurs avantages à Sui :

1. Participation au consensus plus flexible

Si un réseau est attaqué, les nœuds complets peuvent rapidement basculer vers un autre réseau non affecté, offrant ainsi la flexibilité de choisir une voie alternative pour la transmission des données et garantissant que le consensus n'est pas perturbé par des attaques visant à mettre hors ligne les validateurs.

2. Synchronisation d'état plus rapide

SCION permet aux nœuds complets plusieurs chemins de connexion vers d'autres nœuds et validateurs. Cela permet une synchronisation d'état plus rapide en évitant les nœuds éloignés et en contournant les goulots d'étranglement du réseau, accélérant ainsi la synchronisation globale du réseau.

3. Résistance améliorée aux attaques DDoS IP

En cas d'attaque DDoS, la structure ISD limite la portée de l'attaque à un seul réseau. Les nœuds et les validateurs peuvent facilement sélectionner des chemins alternatifs pour contourner le trafic malveillant, ce qui empêche l'attaque DDoS de les affecter.

En général, le routage multi-chemin et l'isolation des chemins de SCION fournissent au réseau Sui une sécurité et une flexibilité accrues lors de la gestion des attaques provenant de réseaux externes, réduisant ainsi les risques d'interruption de service. De plus, l'intégration des informations de chemin directement dans les paquets de données de SCION améliore la vitesse du réseau. Des tests officiels ont montré que les retards entre les nœuds distants peuvent être réduits de plus de 10%, améliorant ainsi les performances du réseau, ce qui positionne Sui comme une chaîne publique leader dans l'industrie.

Conclusion

Sui, une chaîne publique Layer 1 en pleine croissance, est construite avec le langage MOVE unique et représente la première chaîne publique orientée objet. Elle deviendra le premier protocole blockchain à mettre en œuvre l'architecture SCION, reflétant l'engagement de Mysten Lab en matière d'innovation technologique et d'amélioration continue des performances et de la sécurité de Sui. Si la mise à niveau de SCION s'avère réussie, cela pourrait encourager d'autres chaînes publiques à adopter une technologie similaire, marquant un bond en avant significatif pour la technologie blockchain et posant les bases d'une adoption à grande échelle dans le futur.