Je Polygón bezpečný? Kritici: Multisig nie je dostatočne bezpečný, 5 miliárd dolárov je v ohrození

Polygón je možno najobľúbenejšou alternatívou k transakciám priamo na základnej vrstve Ethereum (L1), čo používateľom dáva možnosť vykonávať rýchle transakcie s nízkymi poplatkami. mnohouholník (MATIC) je najlepšie známy ako takzvaný vedľajší reťazec k Ethereu, tj blockchain kompatibilný s virtuálnym strojom Ethereum (EVM) s vlastnou sadou validačných uzlov. Avšak tím Polygon má tiež investoval vo veľkej miere v čistej technológii Layer-2 a poskytuje služby, ako je Miden škálovacie riešenie založené na zk-STARKs.

S úspechom samozrejme prichádza aj zodpovednosť za zabezpečenie všetkých prostriedkov, ktoré používatelia vlievajú do siete. Vo vlákne tweetu Justin Bons, zakladateľ a CIO spoločnosti Kybernetický kapitál, obviňuje tím Polygon, že používa laxné bezpečnostné opatrenia, najmä v súvislosti s multisig kontraktom Polygon smart contract, ktorý ovláda kľúč správcu Polygon smart kontraktu. Tento kľúč zase podľa Bonsa kontroluje viac ako 5 miliárd dolárov.

1/14) Polygón v súčasnom stave je nezabezpečený a centralizovaný!

Na kompromis nad 5 miliárd dolárov by bolo potrebných iba 5 ľudí!

4 z týchto ľudí sú zakladatelia Poly!

Toto je jeden z najväčších hackov alebo únikových podvodov, ktoré len čakajú na to, čo sa stane

Bezohľadné a nezodpovedné, varovanie pre múdrych:

- Justin Bons (@Justin_Bons) Februára 12, 2022

„Polygón v súčasnom stave je nezabezpečený a centralizovaný! Na kompromis vo výške viac ako 5 miliárd dolárov by bolo potrebných iba päť ľudí! Štyria z týchto ľudí sú zakladateľmi Polygonu! Toto je jeden z najväčších hackov alebo únikových podvodov, ktoré len čakajú na to, čo sa stane,“ tweetuje Bons

„Tím Polygon môže získať úplnú kontrolu nad Polygónom“

„Kľúč správcu inteligentnej zmluvy Polygon je riadený piatimi z ôsmich zmlúv s viacerými podpismi. To znamená, že Polygón [tím] môže získať úplnú kontrolu nad Polygónom iba s jednou zo štyroch vonkajších strán sprisahania. Ďalšie štyri strany v multisig boli tiež vybrané Polygonom,“ pokračuje Bons.

Podľa Bonsa to tiež znamená, že tieto štyri ďalšie strany „nie sú úplne nestranné“. Kontrola nad kľúčom správcu zmluvy sa rovná právomoci meniť pravidlá. Vtedy sa „všetko stane možným“. Vrátane vyprázdnenia celého Polygónového kontraktu.

Určitá kritika smeruje aj k údajnému nedostatku transparentnosti Polygonu. Nie je to prvýkrát, čo je údajná nepriehľadnosť Polygonu na stole. Chris Blec na DeFi Watch predtým odoslaný a požiadať tímu Polygon so žiadosťou o jasnosť. Podľa Bonsa aj Blec Polygon na Blecovu žiadosť neodpovedal.

Avšak, polygón Celý tím o tejto záležitosti nemlčí, keďže otázky tohto typu sa vyskytli už predtým. Tým už predtým zverejnená multisig správa o transparentnosti, aby sa vec objasnila. V odpovedi na Bonsov tweet Mihailo Bjelic, spoluzakladateľ Polygonu, nepriamo potvrdzuje obavy z multisig, pretože Polygon „pracuje na ich odstránení“. Multisig bol implementovaný v „rannej fáze“ a zjavne nie je ideálnym riešením, pretože systém rastie.

1/9 Použitie multisigs bolo riešené mnohokrát. Hlavne kvôli nováčikom, poďme si ešte raz priblížiť kľúčové body.

TL;DR: Multisig sa používajú na zvýšenie bezpečnosti, nie na jej zníženie. Polygon ich používa zodpovedne a pracujeme na ich odstránení. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) Februára 14, 2022

„Tie [multiznačky] sa považujú za optimálny prístup k zabezpečeniu finančných prostriedkov používateľov v počiatočných fázach vývoja a používajú ich takmer každý projekt škálovania a premostenia.“

Bjelic poukazuje na správu o transparentnosti, v ktorej sa podrobne uvádza „plán na zlepšenie a prípadné odstránenie multisig“. Bjelič sa potom venuje niektorým bodom v Bonsovom tweete.

„Výstupný podvod nie je pre Polygón realistický“

Podľa BjelicIho nie je únikový podvod pre Polygón realistický; multisig sa používajú na ochranu používateľov pred hackermi a Polygon používa multisig tak, ako to robí, pretože sú zodpovední, v rozpore s obvineniami.

Podľa Bonsovej kritiky je päť z ôsmich multisig „úplne nedostatočných“ na ochranu až 5 miliárd dolárov a že štyri z týchto ôsmich multisig boli „dané“ externým stranám vybraným Polygonom. Pre Bonsa to môže predstavovať riziko tajnej dohody.

Podľa BjelicI sú však vonkajšie strany „renomované projekty Ethereum/Polygon a neboli vybrané Polygonom, rozhodli sa zúčastniť“.

„Čím viac signatárov, tým ťažšie je skoordinovať ich v prípade, že je potrebná okamžitá reakcia. Snažíme sa tu nájsť správnu rovnováhu; už máme viac signatárov ako väčšina ostatných škálovacích projektov,“ odpovedá BjelicI.

Tu je to, čo by mal Polygon robiť

Vo svojich tweetoch sa Bons delí aj o niekoľko rád s tímom Polygon.

Podľa Bonsovho názoru musí Polygon decentralizovať svoje vlastné riadenie na základe držiteľov tokenov Matic. V súčasnosti je to stále príliš centralizované podľa modelu DPoS (delegovaný dôkaz o stávke) s nízkym počtom overovateľov. Podľa data z prieskumníka polygónových blokov Plygonscan iba štyria validátori vyťažili väčšinu blokov za posledných sedem dní.

Akonáhle Polygon decentralizoval svoje riadenie. Budú musieť preniesť kľúč správcu inteligentnej zmluvy na držiteľov tokenov Matic, navrhuje Bons. Efektívne prepnutie kontroly na „Matic DAO“. To by si s najväčšou pravdepodobnosťou vyžadovalo prechod na novú zmluvu Polygon Smart.

"Určite by to bolo veľmi ťažké a nákladné. To je však cena, ktorú treba zaplatiť za to, že veci nerobíme správne. Je to cena, ktorú platíme za decentralizáciu a bezpečnosť, ktorá je s tým spojená. O tom by mala byť kryptomena,“ tweetuje Bons.

Vo svojej odpovedi BjelicI hovorí, že navrhované riešenie „je určite naším cieľom, ako je opísané v správe o transparentnosti. Tým sa však predĺži reakčný čas v prípade chyby, takže sa bude implementovať a aktivovať postupne.“

CryptoSlate požiadal Polygon o komentáre, ale v čase písania nedostal žiadnu odpoveď. Niektoré citáty boli kvôli prehľadnosti upravené.