Kas Polygon on safu? Kriitikud: Multisig pole piisavalt turvaline, 5 miljardit dollarit on ohus

Polygon on võib-olla kõige populaarsem alternatiiv otse Ethereumi baaskihil (L1) tehingutele, andes kasutajatele võimaluse teha kiireid tehinguid madalate tasudega. hulknurk (MATIC) on enim tuntud kui Ethereumi niinimetatud külgahel, st Ethereumi virtuaalmasinaga (EVM) ühilduv plokiahel, millel on oma validaatorisõlmede komplekt. Siiski on ka Polygoni meeskond investeerinud suurel määral puhta Layer-2 tehnoloogiaga ja pakub selliseid teenuseid nagu zk-STARKs põhinev Mideni skaleerimislahendus.

Muidugi kaasneb eduga ka kohustus kaitsta kogu raha, mida kasutajad võrku valavad. Ühes säutsu lõimes Justin Bons, ettevõtte asutaja ja infojuht Küberkapital, süüdistab Polygoni meeskonda leebete turvameetmete rakendamises, eelkõige Polygoni nutika lepingu mitmepoolse lepinguga, mis juhib Polygoni nutika lepingu administraatorivõtit. See võti omakorda kontrollib Bonsi andmetel üle 5 miljardi dollari suuruse raha.

1/14) Polügoon on praeguses olekus ebaturvaline ja tsentraliseeritud!

5 miljardi dollari üle kompromissi tegemiseks kuluks vaid 5 inimest!

Neist 4 on Poly asutajad!

See on üks suurimaid häkkimisi või väljumispettusi, mis alles ootavad

Hoolimatu ja vastutustundetu, hoiatus tarkadele:

- Justin Bons (@Justin_Bons) Veebruar 12, 2022

"Praeguses olekus polügoon on ebaturvaline ja tsentraliseeritud! Üle 5 miljardi dollari kompromissi tegemiseks oleks vaja vaid viit inimest! Neli neist inimestest on Polygoni asutajad! See on üks suurimaid häkkimisi või väljumispettusi, mis ootavad juhtumist," säutsus Bons

"Polygoni meeskond võib saavutada täieliku kontrolli polügooni üle"

„Polygoni nutika lepingu administraatorivõtit juhib viis kaheksast mitme allkirjaga lepingust. See tähendab, et Polygon [meeskond] võib saavutada täieliku kontrolli polügooni üle, kui ainult üks neljast välisest osapoolest peab vandenõu. Ka ülejäänud neli multisigi osapoolt valis Polygon välja,” jätkab Bons.

Bonsi sõnul tähendab see ka seda, et need neli teist erakonda "ei ole täpselt erapooletud". Kontroll lepingu administraatori võtme üle võrdub reeglite muutmise õigusega. Sel hetkel "kõik saab võimalikuks". Sealhulgas kogu Polygoni lepingu tühjendamine.

Teatud kriitika osutab ka Polygoni väidetavale läbipaistvuse puudumisele. See pole esimene kord, kui Polygoni väidetav läbipaistmatus on laual. Chris BLEC DeFi Watchis saatis varem a taotleda selgust paludes polügooni meeskonnale. Nii Bonsi kui ka Bleci sõnul ei vastanud Polygon Bleci palvele.

Kuid hulknurk meeskond ei ole selles küsimuses vait, kuna seda tüüpi küsimusi on varemgi kerkinud. Meeskond on varem avaldatud asjasse selguse toomiseks multisig läbipaistvusaruanne. Vastuseks Bonsi säutsule kinnitab Polygoni kaasasutaja Mihailo Bjelic kaudselt multisigiga seotud muresid, kuna Polygon "töötab nende eemaldamise nimel". Multisig võeti kasutusele "varajases faasis" ja ilmselt pole see süsteemi kasvades ideaalne lahendus.

1/9 Multisigide kasutamist on korduvalt käsitletud. Peamiselt uute tulijate huvides käsitleme veel kord põhipunkte.

TL;DR: Multisige kasutatakse turvalisuse suurendamiseks, mitte selle vähendamiseks. Polygon kasutab neid vastutustundlikult ja me töötame nende eemaldamise nimel. https://t.co/vSlSQUARmX

- Mihailo Bjelic (@MihailoBjelic) Veebruar 14, 2022

"Neid [multisigse] peetakse optimaalseks lähenemisviisiks kasutajate raha kindlustamiseks arenduse varases faasis ja neid kasutatakse peaaegu kõigis skaleerimis- ja sillamisprojektides."

Bjelic viitab läbipaistvusaruandele, milles kirjeldatakse üksikasjalikult "multisignaalide parandamise ja lõpuks eemaldamise plaani". Seejärel käsitleb Bjelic mõnda Bonsi säutsu punkti.

"Väljumise pettus ei ole polügooni jaoks realistlik probleem"

BjelicI sõnul pole väljumispettus Polygoni jaoks realistlik; multisige kasutatakse kasutajate kaitsmiseks häkkimise eest ja Polygon kasutab multisigi nii, nagu ta teeb, kuna nad vastutavad vastupidiselt süüdistustele.

Bonsi kriitika kohaselt on viis kaheksast multisigist "täiesti ebapiisav", et kaitsta kuni 5 miljardit dollarit raha, ja et neli neist kaheksast multisigist anti välja Polygoni valitud välistele osapooltele. Bonsi jaoks võib see kujutada endast kokkumängu ohtu.

BjelicI sõnul on aga välised osapooled "mainega Ethereumi/Polygoni projektid ja Polygon ei valinud neid, vaid nad otsustasid osaleda."

"Mida rohkem allkirjastajaid, seda raskem on neid koordineerida juhuks, kui on vaja kohest reageerimist. Püüame siin leida õiget tasakaalu; meil on juba rohkem allkirjastajaid kui enamikul teistel skaleerimisprojektidel,” vastab BjelicI.

Siin on, mida Polygon peaks tegema

Oma säutsudes jagab Bons ka Polygoni meeskonnaga nõuandeid.

Bonsi arvates peab Polygon oma juhtimise detsentraliseerima, tuginedes Matici märgiomanikele. Praegu on see endiselt liiga tsentraliseeritud, järgides DPoS-i (Delegated Proof of Stake) mudelit ja vähese arvu valideerijaid. Vastavalt andmed Polygoni plokkide uurijast Plygonscan kaevandas viimase seitsme päeva jooksul enamiku plokkidest ainult neli validaatorit.

Kui Polygon on oma valitsemise detsentraliseerinud. Bons soovitab, et nad peavad nutika lepingu administraatori võtme Matici žetoonide omanikele üle kandma. Tõhusalt juhtimise üle andmine "Matic DAO-le". See nõuaks tõenäoliselt üleminekut uuele Polygon Smart lepingule.

"See oleks ilmselt väga raske ja kulukas teha. See on aga hind, mida tuleb maksta selle eest, et asju ei tehta õigesti. See on hind, mida me maksame detsentraliseerimise ja sellega kaasneva turvalisuse eest. See peakski krüptorahas olema,” säutsus Bons.

Oma vastuses ütleb BjelicI, et pakutud lahendus „on kindlasti meie eesmärk, nagu on kirjeldatud läbipaistvusaruandes. See aga suurendab vea korral reaktsiooniaega, nii et seda rakendatakse ja aktiveeritakse järk-järgult.

CryptoSlate pöördus kommentaaride saamiseks Polygoniga, kuid ei saanud selle kirjutamise ajal vastuseid. Mõned tsitaadid on selguse huvides muudetud.