Je li Poligon safu? Kritičari: Multisig nije dovoljno siguran, 5 milijardi dolara je u opasnosti

Poligon je možda najpopularnija alternativa transakcijama izravno na osnovnom sloju Ethereuma (L1), dajući korisnicima priliku za brze transakcije uz niske naknade. Poligon (MATIC) najpoznatiji je kao takozvani bočni lanac za Ethereum, tj. blockchain kompatibilan s virtualnim strojem Ethereum (EVM) koji pokreće vlastiti skup čvorova validatora. Međutim, tim Poligona također ima uloženo u velikoj mjeri u čistoj Layer-2 tehnologiji, i pruža usluge kao što je zk-STARKs bazirano na Miden skaliranju rješenja.

Naravno, s uspjehom dolazi i odgovornost za očuvanje svih sredstava koja korisnici ulijevaju u mrežu. U tvit niti, Justin Bons, osnivač i CIO Cyber ​​Capital, optužuje tim Polygona da primjenjuje slabe sigurnosne mjere, prvenstveno oko Polygon smart contract multisig ugovora koji kontrolira administrativni ključ Polygon pametnog ugovora. Ovaj ključ, pak, kontrolira preko 5 milijardi dolara sredstava, kaže Bons.

1/14) Poligon u svom trenutnom stanju nije siguran i centraliziran!

Bilo bi potrebno samo 5 ljudi za kompromis od 5 milijardi dolara!

4 od tih ljudi su osnivači Poly!

Ovo je jedan od najvećih hakova ili izlaznih prijevara koje samo čekaju da se dogode

Bezobzirno i neodgovorno, upozorenje mudrima:

- Justin Bons (@Justin_Bons) Veljače 12, 2022

“Poligon u svom trenutnom stanju je nesiguran i centraliziran! Bilo bi potrebno samo pet ljudi da ugroze više od 5 milijardi dolara! Četiri od tih ljudi su osnivači Poligona! Ovo je jedan od najvećih hakova ili izlaznih prijevara koje samo čekaju da se dogode”, tvita Bons

"Tim Poligona može steći potpunu kontrolu nad Poligonom"

„Administratorski ključ Polygona pametnog ugovora kontrolira pet od osam ugovora s više potpisa. To znači da Poligon [tim] može steći potpunu kontrolu nad Poligonom sa samo jednom od četiri vanjske strane u zavjeri. Ostale četiri strane u multisignu također je odabrao Polygon”, nastavlja Bons.

Prema Bonsu, to također znači da ove četiri druge strane "nisu baš nepristrane". Kontrola nad administrativnim ključem ugovora jednaka je moći mijenjanja pravila. U tom trenutku "sve postaje moguće". Uključujući pražnjenje cijelog ugovora o poligonu.

Neke kritike upućuju se i na navodni nedostatak transparentnosti Poligona. Ovo nije prvi put da je navodna neprozirnost Poligona na stolu. Chris Blec na DeFi Watch je prethodno poslao a zatražiti timu Poligona tražeći jasnoću. Prema Bonsu i Blecu, Polygon nije odgovorio na Blecov zahtjev.

Međutim, Poligon Tim ne šuti o tome jer su se pitanja ovog tipa već postavljala. Tim je ranije objavljen izvješće o transparentnosti s više potpisa kako bi se stvar razjasnila. U odgovoru na Bonsov tweet, Mihailo Bjelić, suosnivač Poligona, neizravno potvrđuje zabrinutost s više znakova jer Polygon “radi na njihovom uklanjanju”. Multisig je implementiran u "ranoj fazi" i očito nije idealno rješenje kako sustav raste.

1/9 Upotreba višeznačnih znakova razmatrana je mnogo puta. Uglavnom zbog novopridošlica, još jednom pokrijmo ključne točke.

TL;DR: Multisigs se koriste za povećanje sigurnosti, a ne za smanjenje. Polygon ih odgovorno koristi, a mi radimo na njihovom uklanjanju. https://t.co/vSlSQUaRmX

- Mihailo Bjelić (@MihailoBjelic) Veljače 14, 2022

“Oni [višestruki znakovi] smatraju se optimalnim pristupom za osiguranje sredstava korisnika u ranim fazama razvoja i koriste se u gotovo svakom projektu skaliranja i premošćivanja.”

Bjelić ukazuje na izvješće o transparentnosti s detaljima o “planu poboljšanja i konačnog uklanjanja višeznačnih znakova”. Bjelić se zatim osvrće na neke točke u Bonsovom tweetu.

“Izlazna prijevara nije realna briga za Poligon”

Prema BjelicIju, izlazna prijevara nije realna briga za Polygon; multisigovi se koriste za zaštitu korisnika od hakova, a Polygon koristi multisig na način na koji radi jer su odgovorni, suprotno optužbama.

Prema Bonsovoj kritici, pet od osam multipotpisa je “potpuno nedovoljno” za zaštitu čak 5 milijardi dolara sredstava, a četiri od tih osam višestrukih potpisa su “dane” vanjskim stranama koje je odabrao Polygon. Za Bonsa to može predstavljati opasnost od dogovaranja.

Međutim, prema BjelicI-ju, vanjske strane su “renomirani Ethereum/Polygon projekti i nije ih odabrao Polygon, oni su odlučili sudjelovati.”

“Što više potpisnika, to ih je teže koordinirati u slučaju da je potrebna hitna reakcija. Ovdje pokušavamo pronaći pravu ravnotežu; već imamo više potpisnika od većine drugih projekata skaliranja”, odgovara BjelicI.

Evo što bi Poligon trebao učiniti

U svojim tweetovima Bons također dijeli nekoliko savjeta s timom Poligona.

Po Bonsovom mišljenju, Polygon mora decentralizirati vlastito upravljanje na temelju nositelja Matic tokena. Trenutno je to još uvijek previše centralizirano nakon DPoS (Delegated Proof of Stake) modela s malim brojem validatora. Prema datum iz Polygon block explorera Plygonscan, samo su četiri validatora rudarila većinu blokova u proteklih sedam dana.

Nakon što je Polygon decentralizirao svoje upravljanje. Morat će prenijeti administratorski ključ pametnog ugovora na držače tokena Matic, predlaže Bons. Učinkovito prebacivanje kontrole na "Matic DAO". To bi najvjerojatnije zahtijevalo migraciju na novi Polygon Smart ugovor.

“Ovo bi očito bilo vrlo teško i skupo učiniti. Međutim, to je cijena koju morate platiti za nečinjenje stvari kako treba, za početak. To je cijena koju plaćamo za decentralizaciju i sigurnost koja dolazi uz to. To je ono o čemu bi se kriptovaluta trebala baviti”, tvita Bons.

Bjelić u svom odgovoru kaže da je predloženo rješenje “definitivno naš cilj, kako je opisano u izvješću o transparentnosti. Međutim, to će povećati vrijeme reakcije u slučaju greške, pa će se implementirati i aktivirati postupno.”

CryptoSlate se obratio Polygonu za komentare, ali nije dobio odgovore u vrijeme pisanja. Neki od citata su uređeni radi jasnoće.