Je Poligon varen? Kritiki: Multisig ni dovolj varen, 5 milijard dolarjev je v nevarnosti

Poligon je morda najbolj priljubljena alternativa transakcijam neposredno na osnovni plasti Ethereum (L1), ki uporabnikom omogoča hitre transakcije z nizkimi provizijami. Poligon (MATIC) je najbolj znan kot tako imenovana stranska veriga do Ethereuma, to je veriga blokov, ki je združljiva z virtualnim strojem Ethereum (EVM), ki izvaja svoj nabor vozlišč validatorja. Vendar pa ima tudi ekipa Poligona investirali močno v čisti tehnologiji Layer-2 in zagotavlja storitve, kot je rešitev za skaliranje Miden, ki temelji na zk-STARK.

Seveda z uspehom pride tudi odgovornost za zaščito vseh sredstev, ki jih uporabniki vlivajo v omrežje. V tvitu Justin Bons, ustanovitelj in CIO Cyber ​​Capital, obtožuje ekipo Polygon, da uporablja ohlapne varnostne ukrepe, predvsem v zvezi s pogodbo za več podpisov pametne pogodbe Polygon, ki nadzoruje skrbniški ključ za pametno pogodbo Polygon. Ta ključ pa po besedah ​​Bonsa nadzoruje več kot 5 milijard dolarjev sredstev.

1/14) Poligon v svojem trenutnem stanju ni varen in centraliziran!

Za kompromis nad 5 milijardami dolarjev bi potrebovalo le 5 ljudi!

4 od teh ljudi so ustanovitelji Poly!

To je eden največjih vdorov ali izhodnih prevar, ki čakajo, da se zgodijo

Brezobzirno in neodgovorno, opozorilo za modre:

- Justin Bons (@Justin_Bons) Februar 12, 2022

»Poligon v trenutnem stanju ni varen in centraliziran! Samo pet ljudi bi potrebovalo kompromis za več kot 5 milijard dolarjev! Štirje od teh ljudi so ustanovitelji Poligona! To je ena največjih prevar pri vdorih ali izstopih, ki čakajo, da se zgodijo,« je tvitnil Bons

"Ekipa za poligon lahko pridobi popoln nadzor nad poligonom"

»Skrbniški ključ za pametno pogodbo Polygon nadzira pogodba s petimi od osmih podpisov. To pomeni, da lahko poligon [ekipa] pridobi popoln nadzor nad poligonom z zaroto samo ene od štirih zunanjih strank. Tudi ostale štiri stranke v multipodpisu je izbral Polygon,« nadaljuje Bons.

Po Bonsovih besedah ​​to tudi pomeni, da te štiri druge stranke "niso ravno nepristranske." Nadzor nad skrbniškim ključem pogodbe je enak pooblastilu za spreminjanje pravil. Takrat »postane vse mogoče«. Vključno z izpraznitvijo celotne pogodbe o poligonu.

Nekaj ​​kritik je izpostavljeno tudi domnevnemu pomanjkanju transparentnosti Polygona. To ni prvič, da je domnevna neprozornost Poligona na mizi. Chris Blec na DeFi Watch je prej poslal a zahteva ekipi Poligona in prosi za jasnost. Po besedah ​​tako Bonsa kot Bleca Polygon na Blecovo prošnjo ni odgovoril.

Vendar poligon ekipa o tem ne molči, saj so se tovrstna vprašanja pojavljala že prej. Ekipa je že prej objavljeno poročilo o preglednosti z več podpisi, ki bo zadevo razjasnilo. V odgovoru na Bonsov tvit Mihailo Bjelic, soustanovitelj Poligona, posredno potrjuje pomisleke o več podpisih, saj si Polygon »prizadevajo za njihovo odpravo«. Multisig je bil implementiran v "zgodnji fazi" in očitno ni idealna rešitev, ko sistem raste.

1/9 Uporaba multipodpisov je bila večkrat obravnavana. Predvsem zaradi novincev, še enkrat poudarimo ključne točke.

TL;DR: Multipodpisi se uporabljajo za povečanje varnosti, ne za njeno zmanjšanje. Polygon jih uporablja odgovorno in si prizadevamo, da bi jih odstranili. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) Februar 14, 2022

"Štejejo [multisigs] za optimalen pristop za zagotovitev sredstev uporabnikov v zgodnjih fazah razvoja in jih uporablja skoraj vsak projekt skaliranja in premostitve."

Bjelic opozarja na poročilo o preglednosti, v katerem je podrobno opisan "načrt za izboljšanje in sčasoma odstranitev večpodpisov." Bjelic nato obravnava nekatere točke v Bonsovem tvitu.

"Izhodna prevara ni realna skrb za Poligon"

Po Bjeličevem mnenju izstopna prevara ni realna skrb za Polygon; multipodpisi se uporabljajo za zaščito uporabnikov pred vdori, Polygon pa uporablja multipodpise tako, kot jih uporablja, ker so v nasprotju z obtožbami odgovorni.

Po Bonsovi kritiki je pet od osmih multipodpisov "popolnoma nezadostnih" za zaščito kar 5 milijard dolarjev sredstev in da so bile štiri od teh osmih več podpisov "dane" zunanjim strankam, ki jih je izbral Polygon. Za Bonsa lahko to pomeni tveganje dogovarjanja.

Kot pravi BjelicI, pa so zunanje stranke "ugledni projekti Ethereum/Polygon in jih Polygon ni izbral, odločili so se za sodelovanje."

»Več ko je podpisnikov, težje jih je uskladiti, če je potrebna takojšnja reakcija. Tukaj poskušamo najti pravo ravnovesje; že imamo več podpisnikov kot večina drugih projektov skaliranja,« odgovarja BjelicI.

Tukaj je tisto, kar bi moral narediti Poligon

Bons v svojih tvitih deli tudi nekaj nasvetov z ekipo Polygon.

Po Bonsovem mnenju mora Polygon decentralizirati svoje upravljanje na podlagi imetnikov žetonov Matic. Trenutno je to še vedno preveč centralizirano po modelu DPoS (Delegated Proof of Stake) z majhnim številom validatorjev. Po navedbah datum iz raziskovalca blokov Polygon Plygonscan so samo štirje validatorji rudarili večino blokov v zadnjih sedmih dneh.

Ko bo Polygon decentraliziral svoje upravljanje. Skrbniški ključ pametne pogodbe bodo morali prenesti na imetnike žetonov Matic, predlaga Bons. Učinkovito predajanje nadzora na "Matic DAO". To bi najverjetneje zahtevalo prehod na novo pogodbo Polygon Smart.

»To bi bilo očitno zelo težko in drago. Vendar pa je to cena, ki jo je treba plačati, če stvari ne počnete pravilno. To je cena, ki jo plačamo za decentralizacijo, in varnost, ki prihaja zraven. To bi morala biti kriptovaluta,« je tvitnil Bons.

Bjelic v svojem odgovoru pravi, da je predlagana rešitev »zagotovo naš cilj, kot je opisano v poročilu o transparentnosti. Vendar bo to povečalo reakcijski čas v primeru napake, zato se bo izvajal in aktiviral postopoma."

CryptoSlate se je obrnil na Polygon za komentarje, vendar v času pisanja ni prejel odgovora. Nekateri citati so bili urejeni zaradi jasnosti.