Audit XCMv2 effectué par Quarkslab
Source officiel : XCMv2 Audit Completed by Quarkslab
XCM (Cross-Consensus Messaging format) est un utilitaire fondamental pour la stack technologique de Polkadot. Il permet une communication transparente entre les blockchains ainsi que les pallets (modules d’exécution de Substrate) et les smart contracts (y compris sur les bridges et les enclaves sharded comme SPREE de Polkadot), répondant ainsi à l’objectif fondamental de Polkadot d’être un écosystème multichaîne entièrement fonctionnel et interopérable. Il est essentiel de noter que XCM est agnostique en matière de consensus, ce qui signifie qu’il peut être utilisé pour communiquer entre des blockchains dotées de systèmes de consensus différents, voire même entre des écosystèmes disparates tels que Polkadot et Ethereum.
Le fait de disposer d’un format de messagerie commun élargit le champ d’application des projets dans l’écosystème de Polkadot et de Substrate, en permettant la communication inter-chaînes, une fonctionnalité déterminante pour connecter des chaînes et des dapps qui ne travaillent pas nécessairement avec la même technologie ou les mêmes règles de consensus, ce qui constitue une base solide pour l’avenir du Web3. Pour en savoir plus sur XCM, consultez la récente série de blogs (partie I, partie II, partie III) du fondateur de Polkadot, le Dr Gavin Wood, qui examine l’importance et la fonctionnalité du format.
Audit de XCMv2
XCMv2, déployé d’abord sur Kusama, le réseau canari de Polkadot, a été audité une deuxième fois et est prêt à être mis en production. En raison de l’ampleur de la messagerie de consensus croisé pour le réseau Polkadot, il est crucial que chaque itération de XCM soit soumise à un examen indépendant par des organismes de sécurité externes.
Quarkslab a réalisé un deuxième audit complet (un audit précédent avait déjà été réalisé par SRLabs) de XCMv2, dont un aperçu peut être trouvé ici. Le but de cet audit était de découvrir tout problème potentiel de sécurité ou d’équité entre les chaînes, y compris les bogues logiques, les dénis de service et les verrouillages/déverrouillages incorrects ou les burn/mintages sur les deux chaînes.
Les conclusions
Deux ingénieurs en sécurité de Quarkslab ont effectué l’audit sur une période de 50 jours-hommes. Ils n’ont pas découvert de problèmes de sécurité importants dans XCMv2. En outre, la portée de l’audit comprenait un examen de la sécurité sous-jacente de plusieurs composants XCM. Le rapport d’audit est donc utile pour toute personne souhaitant explorer les rouages de XCM.
Un rapport d’audit complet peut être trouvé ici.
Tenez-vous au courant des derniers développements de XCM
À la suite de l’audit complet, XCMv2 est prêt à être mis en production, et XCMv3 est actuellement en phase finale de développement. Pour en savoir plus sur l’utilisation de XCM, regardez l’atelier de Shawn Tabrizi, de Parity. Pour les mises à jour, suivez le dépôt xcm-format sur GitHub, suivez Polkadot sur Twitter et inscrivez-vous à la newsletter.
Vous souhaitez construire sur Polkadot ou Kusama ? Prenez contact avec nous !
