Onko Polygon safu? Kriitikot: Multisig ei ole tarpeeksi turvallinen, 5 miljardia dollaria vaarassa

Polygon on ehkä suosituin vaihtoehto suoraan Ethereumin peruskerroksella (L1) asioimiseen, mikä antaa käyttäjille mahdollisuuden tehdä nopeita tapahtumia alhaisilla maksuilla. Monikulmio (MATIC) tunnetaan parhaiten ns. Ethereumin sivuketjuna, eli Ethereum Virtual Machine (EVM) -yhteensopivana lohkoketjuna, jossa on omat validointisolmunsa. Kuitenkin Polygon joukkue on myös investoineet vahvasti puhtaassa Layer-2-tekniikassa ja tarjoaa palveluita, kuten zk-STARKs-pohjaisen Miden-skaalausratkaisun.

Tietysti menestys tuo mukanaan vastuun turvata kaikki varat, jotka käyttäjät kaatavat verkkoon. Twiitissä Justin Bons, perustaja ja tietohallintojohtaja Kyberpääkaupunki, syyttää Polygon-tiimiä löyhistä turvatoimista, pääasiassa Polygonin älykkään sopimuksen monisig-sopimuksesta, joka ohjaa Polygonin älykkään sopimuksen järjestelmänvalvojan avainta. Tämä avain puolestaan ​​hallitsee yli 5 miljardin dollarin varoja Bonsin mukaan.

1/14) Nykyisessä tilassaan monikulmio on turvaton ja keskitetty!

Vaatii vain 5 ihmistä tinkimään 5 miljardista dollarista!

4 heistä on Polyn perustajia!

Tämä on yksi suurimmista hakkeroista tai poistumishuijauksista, jotka vain odottavat tapahtumaansa

Huolimaton ja vastuuton, varoitus viisaille:

- Justin Bons (@Justin_Bons) Helmikuu 12, 2022

"Monikulmio on nykytilassaan epävarma ja keskitetty! Yli 5 miljardin dollarin kompromisseihin tarvittaisiin vain viisi ihmistä! Neljä näistä ihmisistä on Polygonin perustajia! Tämä on yksi suurimmista hakkeroista tai irtautumishuijauksista, jotka vain odottavat tapahtumaansa, Bons twiittasi

"Polygon-tiimi voi saada täydellisen hallinnan Polygonista"

"Polygon-älysopimuksen järjestelmänvalvojaavainta ohjaa viisi kahdeksasta usean allekirjoituksen sopimuksesta. Tämä tarkoittaa, että Polygon [tiimi] voi saada täydellisen hallinnan Polygonissa, kun vain yksi neljästä ulkopuolisesta osapuolesta tekee salaliiton. Myös muut neljä multisigin osapuolta valittiin Polygonin toimesta”, Bons jatkaa.

Bonsin mukaan tämä tarkoittaa myös sitä, että nämä neljä muuta puoluetta "eivät ole aivan puolueettomia". Sopimuksen järjestelmänvalvojan avaimen hallinta vastaa oikeutta muuttaa sääntöjä. Siinä vaiheessa "kaikki on mahdollista". Mukaan lukien koko Polygon-sopimuksen tyhjentäminen.

Jotkut kritiikit kohdistuvat myös Polygonin väitettyyn avoimuuden puutteeseen. Tämä ei ole ensimmäinen kerta, kun Polygonin väitetty läpinäkymättömyys on esillä. Chris Blec DeFi Watchissa lähetti aiemmin a pyyntö Polygon-tiimille pyytäen selvyyttä. Sekä Bonsin että Blecin mukaan Polygon ei vastannut Blecin pyyntöön.

Kuitenkin, Monikulmio tiimi ei ole aivan hiljaa asiasta, sillä tämän tyyppisiä kysymyksiä on herännyt ennenkin. Joukkue on aiemmin julkaistu Multisig-avoimuusraportti selkeyttää asiaa. Vastauksena Bonsin twiittiin Mihailo Bjelic, Polygonin toinen perustaja, vahvistaa epäsuorasti multisig-huolet, kun Polygon "työstää niiden poistamiseksi". Multisig otettiin käyttöön "varhaisessa vaiheessa", eikä se ilmeisesti ole ihanteellinen ratkaisu järjestelmän kasvaessa.

1/9 Multisigien käyttöä on käsitelty monta kertaa. Pääasiassa uusien tulokkaiden vuoksi, käydään läpi tärkeimmät kohdat vielä kerran.

TL;DR: Multisigejä käytetään lisäämään turvallisuutta, ei vähentämään sitä. Polygon käyttää niitä vastuullisesti, ja pyrimme poistamaan ne. https://t.co/vSlSQUARmX

- Mihailo Bjelic (@MihailoBjelic) Helmikuu 14, 2022

"Niitä [multisigejä] pidetään optimaalisena tapana turvata käyttäjien varoja kehitystyön alkuvaiheessa, ja niitä käytetään lähes kaikissa skaalaus- ja siltausprojekteissa."

Bjelic viittaa avoimuusraporttiin, jossa kerrotaan "suunnitelmasta parantaa ja lopulta poistaa multisigs". Bjelic käsittelee sitten joitain kohtia Bonsin twiitissä.

"Poistumishuijaus ei ole realistinen huolenaihe Polygonille"

BjelicI:n mukaan poistumishuijaus ei ole realistinen huolenaihe Polygonille; multisigejä käytetään suojaamaan käyttäjiä hakkeroilta, ja Polygon käyttää multisigiä tavallaan, koska he ovat vastuussa, vastoin syytöksiä.

Bonsin kritiikin mukaan viisi kahdeksasta multisigistä on "täysin riittämätön" jopa 5 miljardin dollarin varojen suojaamiseen, ja että neljä näistä kahdeksasta multisigistä "annettiin" Polygonin valitsemille ulkopuolisille osapuolille. Bonsille tämä voi muodostaa salaisen yhteistyön riskin.

BjelicI:n mukaan ulkopuoliset osapuolet ovat kuitenkin "hyvämaineisia Ethereum/Polygon-projekteja, eikä Polygon valinnut heitä, vaan he päättivät osallistua".

”Mitä enemmän allekirjoittajia, sitä vaikeampaa on koordinoida heitä, jos välitöntä reagointia tarvitaan. Yritämme löytää oikean tasapainon tässä; meillä on jo enemmän allekirjoittajia kuin useimmissa muissa skaalausprojekteissa”, BjelicI vastaa.

Tässä on mitä Polygonin pitäisi tehdä

Twiitissään Bons jakaa neuvoja myös Polygon-tiimille.

Bonsin mielestä Polygonin on hajautettava oma hallintonsa Matic-merkkien haltijoihin perustuen. Tällä hetkellä tämä on vielä aivan liian keskitetty noudattaen DPoS-mallia (Delegated Proof of Stake), jossa on pieni määrä validaattoreita. Mukaan tiedot Polygon-lohkotutkija Plygonscanista vain neljä validaattoria louhi suurimman osan lohkoista viimeisen seitsemän päivän aikana.

Kun Polygon on hajauttanut hallintonsa. Heidän on siirrettävä älykkään sopimuksen järjestelmänvalvojan avain Matic-merkkien haltijoille, Bons ehdottaa. Ohjaus siirretään tehokkaasti "Matic DAO:lle". Tämä vaatisi todennäköisesti siirtymistä uuteen Polygon Smart -sopimukseen.

"Tämä olisi tietysti erittäin vaikeaa ja kallista tehdä. Se on kuitenkin hinta, joka maksetaan siitä, että asioita ei tehdä oikein, aluksi. Se on hinta, jonka maksamme hajauttamisesta ja sen mukana tulevasta turvallisuudesta. Tästä kryptovaluutoissa pitäisi olla kyse”, Bons twiittasi.

Vastauksessaan BjelicI sanoo, että ehdotettu ratkaisu ”on ehdottomasti tavoitteemme, kuten avoimuusraportissa kuvataan. Tämä kuitenkin lisää reaktioaikaa virheen sattuessa, joten se otetaan käyttöön ja aktivoituu asteittain."

CryptoSlate on ottanut yhteyttä Polygoniin kommentteja varten, mutta ei saanut vastauksia kirjoittamishetkellä. Joitakin lainauksia on muokattu selvyyden vuoksi.