Czy wielokąt jest bezpieczny? Krytycy: Multisig nie jest wystarczająco bezpieczny, 5 miliardów dolarów w niebezpieczeństwie

Polygon jest prawdopodobnie najpopularniejszą alternatywą dla transakcji bezpośrednio w warstwie bazowej Ethereum (L1), dając użytkownikom możliwość dokonywania szybkich transakcji przy niskich opłatach. Wielokąt (MATIC) jest najlepiej znany jako tak zwany side-chain do Ethereum, tj. blockchain kompatybilny z Ethereum Virtual Machine (EVM) z własnym zestawem węzłów walidatorów. Jednak zespół Polygon również zainwestowany w dużej mierze w czystej technologii Layer-2 i świadczy usługi, takie jak rozwiązanie skalowania Miden oparte na zk-STARKs.

Oczywiście wraz z sukcesem pojawia się odpowiedzialność za zabezpieczenie wszystkich środków, które użytkownicy wlewają do sieci. W tweecie Justin Bons, założyciel i CIO of Cyber ​​Kapitał, oskarża zespół Polygon o stosowanie luźnych środków bezpieczeństwa, głównie wokół kontraktu multisig smart kontrakt Polygon, który kontroluje klucz administracyjny inteligentnej umowy Polygon. Ten klucz z kolei kontroluje ponad 5 miliardów dolarów funduszy, według Bonsa.

1/14) Wielokąt w obecnym stanie jest niepewny i scentralizowany!

Wystarczyłoby 5 osób, aby skompromitować ponad 5 miliardów dolarów!

4 z tych osób to założyciele Poly!

To jeden z największych hacków lub oszustw związanych z wyjściem, które tylko czekają, aby się wydarzyć

Lekkomyślny i nieodpowiedzialny, ostrzeżenie dla mądrych:

— Justin Bons (@Justin_Bons) 12 lutego 2022 r.

„Polygon w swoim obecnym stanie jest niepewny i scentralizowany! Wystarczyłoby tylko pięciu osób, aby skompromitować ponad 5 miliardów dolarów! Czterech z tych ludzi jest założycielami Polygon! Jest to jeden z największych hacków lub oszustw związanych z wyjściem, które tylko czekają, aby się wydarzyć”, tweety Bons

„Zespół Polygon może uzyskać pełną kontrolę nad Polygon”

„Klucz administracyjny inteligentnej umowy Polygon jest kontrolowany przez pięć z ośmiu umów z wieloma podpisami. Oznacza to, że [zespół] Polygon może przejąć pełną kontrolę nad Polygonem, gdy tylko jedna z czterech stron zewnętrznych spiskuje. Pozostałe cztery partie w multisig również zostały wybrane przez Polygon” – kontynuuje Bons.

Według Bonsa oznacza to również, że te cztery inne partie „nie są do końca bezstronne”. Kontrola nad kluczem administratora umowy oznacza możliwość zmiany zasad. W tym momencie „wszystko staje się możliwe”. W tym opróżnienie całego kontraktu Polygon.

Pewna krytyka dotyczy również rzekomego braku przejrzystości Polygon. To nie pierwszy raz, kiedy rzekoma nieprzejrzystość Polygon jest na stole. Chris Blec w DeFi Watch wcześniej wysłany a zażądać do zespołu Polygon z prośbą o wyjaśnienie. Według Bonsa i Blec, Polygon nie odpowiedział na prośbę Blec.

Jednakże Wielokąt nie wszyscy milczą w tej sprawie, ponieważ tego typu pytania pojawiały się już wcześniej. Zespół już wcześniej opublikowany raport przejrzystości multisig, aby wyjaśnić sprawę. W odpowiedzi na tweet Bonsa, Mihailo Bjelic, współzałożyciel Polygon, pośrednio potwierdza obawy związane z wieloma znakami, ponieważ Polygon „pracuje nad ich usunięciem”. Multisig został wdrożony we „wczesnej fazie” i najwyraźniej nie jest idealnym rozwiązaniem w miarę rozwoju systemu.

1/9 Wielokrotnie poruszano kwestię wykorzystania multisigów. Głównie ze względu na nowicjuszy, omówmy jeszcze raz kluczowe punkty.

TL;DR: Multisig służą do zwiększania bezpieczeństwa, a nie do jego zmniejszania. Firma Polygon używa ich w sposób odpowiedzialny, a my pracujemy nad ich usunięciem. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) 14 lutego 2022 r.

„Są one [multisigs] uważane za optymalne podejście do zabezpieczania funduszy użytkowników we wczesnych fazach rozwoju i są wykorzystywane w prawie każdym projekcie skalowania i pomostu”.

Bjelic wskazuje na raport przejrzystości szczegółowo opisujący „plan poprawy i ostatecznego usunięcia multisigów”. Bjelic następnie odnosi się do niektórych punktów w tweecie Bonsa.

„Oszustwo związane z wyjściem nie jest realną obawą dla Polygon”

Według BjelicI, oszustwo związane z wyjściem nie jest realnym problemem dla Polygon; multisig są używane do ochrony użytkowników przed włamaniami, a Polygon używa multisig w sposób, w jaki to robi, ponieważ są odpowiedzialni, w przeciwieństwie do oskarżeń.

Zgodnie z krytyką Bonsa, pięć z ośmiu multisigów jest „całkowicie niewystarczające” do ochrony aż 5 miliardów dolarów funduszy, a cztery z tych ośmiu multisigów zostały „podarowane” podmiotom zewnętrznym wybranym przez Polygon. Dla Bons może to stanowić ryzyko zmowy.

Jednak według BjelicI strony zewnętrzne są „renomowanymi projektami Ethereum/Polygon i nie zostały wybrane przez Polygon, zdecydowali się uczestniczyć”.

„Im więcej sygnatariuszy, tym trudniej jest je skoordynować na wypadek, gdyby potrzebna była natychmiastowa reakcja. Staramy się tutaj znaleźć właściwą równowagę; mamy już więcej sygnatariuszy niż większość innych projektów skalowania”, odpowiada BjelicI.

Oto, co powinien zrobić Polygon

W swoich tweetach Bons dzieli się również kilkoma radami z zespołem Polygon.

W opinii Bons, Polygon musi zdecentralizować własne zarządzanie w oparciu o posiadaczy tokenów Matic. Obecnie jest to nadal zbyt scentralizowane w oparciu o model DPoS (Delegated Proof of Stake) z małą liczbą walidatorów. Według dane z eksploratora bloków Polygon Plygonscan tylko czterech walidatorów wydobyło większość bloków w ciągu ostatnich siedmiu dni.

Kiedy Polygon zdecentralizował swoje zarządzanie. Bons sugeruje, że będą musieli przenieść klucz administratora inteligentnej umowy do posiadaczy tokenów Matic. Skuteczne przekazanie kontroli do „Matic DAO”. Najprawdopodobniej wymagałoby to migracji do nowego kontraktu Polygon Smart.

„To byłoby oczywiście bardzo trudne i kosztowne. Jest to jednak cena, którą trzeba zapłacić za nie robienie rzeczy właściwie. To cena, jaką płacimy za decentralizację i związane z tym bezpieczeństwo. Na tym właśnie powinna polegać kryptowaluta” – pisze Bons na Twitterze.

W swojej odpowiedzi BjelicI mówi, że proponowane rozwiązanie „jest zdecydowanie naszym celem, jak opisano w raporcie przejrzystości. Wydłuży to jednak czas reakcji w przypadku błędu, więc będzie wdrażany i aktywowany stopniowo.”

CryptoSlate skontaktował się z firmą Polygon w celu uzyskania komentarzy, ale w momencie pisania nie otrzymał żadnych odpowiedzi. Niektóre cytaty zostały zredagowane dla jasności.