Полигонът безопасен ли е? Критици: Multisig не е достатъчно сигурен, 5 милиарда долара е в опасност

Polygon е може би най-популярната алтернатива на транзакциите директно в основния слой на Ethereum (L1), като дава възможност на потребителите да извършват бързи транзакции с ниски такси. многоъгълник (MATIC) е най-известен като така наречената странична верига към Ethereum, т.е. блокчейн, съвместим с Ethereum Virtual Machine (EVM), работещ със собствен набор от възли за валидиране. Въпреки това, екипът на Polygon също има инвестирани до голяма степен в чиста технология Layer-2 и предоставя услуги като базираното на zk-STARKs решение за мащабиране Miden.

Разбира се, с успеха идва и отговорността да се защитят всички средства, които потребителите наливат в мрежата. В нишка в туит Джъстин Бонс, основател и CIO на Кибер капитал, обвинява екипа на Polygon в прилагане на слаби мерки за сигурност, предимно около многоподписния договор за интелигентен договор на Polygon, който контролира администраторския ключ за смарт договор на Polygon. Този ключ от своя страна контролира над 5 милиарда долара средства, според Бонс.

1/14) Полигонът в текущото си състояние е несигурен и централизиран!

Ще са необходими само 5 души, за да направят компромис над $5B!

4 от тези хора са основателите на Poly!

Това е една от най-големите хакове или измами за излизане, които просто чакат да се случат

Безразсъдно и безотговорно, предупреждение към мъдрите:

— Джъстин Бонс (@Justin_Bons) Февруари 12, 2022

„Полигонът в сегашното си състояние е несигурен и централизиран! Ще са необходими само петима души, за да направят компромис над 5 милиарда долара! Четирима от тези хора са основателите на Polygon! Това е една от най-големите хакове или измами за излизане, които просто чакат да се случат“, туитира Бонс

„Екипът на Polygon може да получи пълен контрол над Polygon“

„Администраторският ключ за интелигентен договор на Polygon се контролира от пет от осем договор с множество подписи. Това означава, че полигона [екипът] може да получи пълен контрол над полигона само с една от четирите външни страни, които са в заговор. Останалите четири партии в мултиподписа също бяха избрани от Polygon“, продължава Бонс.

Според Бонс това също означава, че тези четири други страни „не са точно безпристрастни“. Контролът върху администраторския ключ на договора се равнява на правомощието за промяна на правилата. В този момент „всичко става възможно“. Включително изпразване на целия договор за полигон.

Някои критики са посочени и към предполагаемата липса на прозрачност на Polygon. Това не е първият път, когато предполагаемата непрозрачност на Polygon е на масата. Крис Блек в DeFi Watch преди това изпрати а поиска до екипа на Polygon с молба за яснота. Според Bons и Blec, Polygon не отговори на молбата на Blec.

Въпреки това, Многоъгълник екипът не мълчи по въпроса, тъй като въпроси от този тип са възниквали и преди. Екипът е и преди публикувани доклад за прозрачност с множество подписи, за да внесе яснота по въпроса. В отговор на туита на Бонс, Михайло Белич, съосновател на Polygon, индиректно потвърждава притесненията за мултиподписи, тъй като Polygon „работи за премахването им“. Multisig е внедрен в „ранна фаза“ и очевидно не е идеално решение с разрастването на системата.

1/9 Използването на multisigs е разглеждано много пъти. Главно в името на новодошлите, нека покрием ключовите моменти още веднъж.

TL;DR: Multisigs се използват за повишаване на сигурността, а не за намаляването й. Polygon ги използва отговорно и ние работим за премахването им. https://t.co/vSlSQUaRmX

- Михайло Белич (@MihailoBjelic) Февруари 14, 2022

„Те [multisigs] се считат за оптимален подход за осигуряване на средства на потребителите в ранните фази на разработка и се използват от почти всеки проект за мащабиране и свързване.“

Белич посочва доклада за прозрачност, който описва подробно „плана за подобряване и евентуално премахване на мултиподписите“. След това Белич разглежда някои от точките в туита на Бонс.

„Измамата при излизане не е реалистична грижа за Polygon“

Според BjelicI измамата при излизане не е реалистична грижа за Polygon; multisig се използват за защита на потребителите от хакове, а Polygon използва multisig по начина, по който го прави, защото те носят отговорност, противно на обвиненията.

Според критиката на Бонс, пет от осем мултиподписи са „напълно недостатъчни“ за защита на до 5 милиарда долара средства и че четири от тези осем мултиподписи са „предоставени“ на външни страни, избрани от Polygon. За Bons това може да представлява риск от тайно споразумение.

Според BjelicI обаче външните страни са „реномирани проекти на Ethereum/Polygon и не са били избрани от Polygon, те са решили да участват.

„Колкото повече са подписалите, толкова по-трудно е да се координират в случай, че е необходима незабавна реакция. Опитваме се да намерим правилния баланс тук; ние вече имаме повече подписали, отколкото повечето други проекти за мащабиране“, отговаря BjelicI.

Ето какво трябва да направи Polygon

В своите туитове Бонс също споделя някои съвети с екипа на Polygon.

Според Bons, Polygon трябва да децентрализира собственото си управление въз основа на притежателите на токени Matic. Понастоящем това все още е твърде централизирано след DPoS (делегирано доказателство за залог) модел с малък брой валидатори. Според данни от изследователя на блокове на Polygon Plygonscan, само четири валидатора са копали по-голямата част от блоковете през последните седем дни.

След като Polygon децентрализира управлението си. Те ще трябва да прехвърлят администраторския ключ за смарт договор на притежателите на токени Matic, предполага Бонс. Ефективно прехвърляне на контрола към „Matic DAO“. Това най-вероятно ще изисква миграция към нов договор на Polygon Smart.

„Това очевидно би било много трудно и скъпо да се направи. Това обаче е цената, която трябва да платите за това, че не правите нещата както трябва, като начало. Това е цената, която плащаме за децентрализацията и сигурността, която идва заедно с това. Това трябва да бъде криптовалутата“, туитира Бонс.

В отговора си Белич казва, че предложеното решение „определено е нашата цел, както е описано в доклада за прозрачност. Това обаче ще увеличи времето за реакция в случай на грешка, така че ще бъде внедрено и активирано постепенно."

CryptoSlate се обърна към Polygon за коментари, но не получи отговори към момента на писане. Някои от цитатите са редактирани за по-голяма яснота.