Полигон безопасен? Критики: Multisig недостаточно безопасен, 5 миллиардов долларов под угрозой

Polygon — это, пожалуй, самая популярная альтернатива транзакциям непосредственно на базовом уровне Ethereum (L1), дающая пользователям возможность совершать быстрые транзакции с низкой комиссией. Многоугольник (MATIC) наиболее известен как так называемый сайдчейн для Ethereum, то есть блокчейн, совместимый с виртуальной машиной Ethereum (EVM), на котором работает собственный набор узлов-валидаторов. Тем не менее, команда Полигона также инвестиций в значительной степени использует чистую технологию уровня 2 и предоставляет такие услуги, как решение для масштабирования Miden на основе zk-STARKs.

Конечно, с успехом приходит ответственность за сохранность всех средств, которые пользователи вливают в сеть. В твиттере Джастин Бонс, основатель и директор по информационным технологиям Кибер Капитал, обвиняет команду Polygon в использовании слабых мер безопасности, в первую очередь в отношении мультиподписного контракта смарт-контракта Polygon, который контролирует ключ администратора смарт-контракта Polygon. По словам Бонса, этот ключ, в свою очередь, контролирует средства на сумму более 5 миллиардов долларов.

1/14) Полигон в его нынешнем состоянии небезопасен и централизован!

Потребуется всего 5 человек, чтобы скомпрометировать более 5 миллиардов долларов!

Четверо из этих людей являются основателями Poly!

Это один из крупнейших взломов или мошеннических действий, которые только и ждут своего часа.

Безрассудный и безответственный, предупреждение мудрым:

- Джастин Бонс (@Justin_Bons) 12 февраля 2022

«Полигон в его нынешнем состоянии небезопасен и централизован! Потребовалось бы всего пять человек, чтобы скомпрометировать более 5 миллиардов долларов! Четверо из этих людей являются основателями Полигона! Это один из крупнейших взломов или мошеннических действий, которые только и ждут своего часа», — написал Бонс в Твиттере.

«Команда Polygon может получить полный контроль над Polygon»

«Ключ администратора смарт-контракта Polygon контролируется пятью из восьми контрактов с несколькими подписями. Это означает, что Polygon [команда] может получить полный контроль над Polygon, если только одна из четырех внешних сторон сговорится. Остальные четыре участника мультиподписи также были выбраны Polygon», — продолжает Бонс.

По словам Бонса, это также означает, что эти четыре другие стороны «не совсем беспристрастны». Контроль над ключом администратора контракта означает право изменять правила. В этот момент «все становится возможным». Включая опустошение всего контракта Полигона.

Некоторая критика также направлена ​​​​на предполагаемое отсутствие прозрачности Polygon. Это не первый раз, когда предполагаемая непрозрачность Polygon находится на столе. Крис Блэк в DeFi Watch ранее отправил запросить команде Polygon с просьбой внести ясность. По словам Бонса и Блека, Polygon не ответил на запрос Блека.

Однако Polygon Команда не все молчит по этому поводу, поскольку вопросы такого типа возникали и раньше. Команда ранее опубликованный отчет о прозрачности с несколькими подписями, чтобы внести ясность в этот вопрос. В ответ на твит Бонса Михайло Бьелич, соучредитель Polygon, косвенно подтверждает опасения по поводу мультиподписей, поскольку Polygon «работает над их устранением». Мультиподпись была реализована на «ранней фазе» и, очевидно, не является идеальным решением по мере роста системы.

1/9 Использование мультиподписей обсуждалось много раз. В основном для новичков, давайте еще раз рассмотрим ключевые моменты.

TL;DR: мультиподписи используются для повышения безопасности, а не для ее снижения. Polygon ответственно использует их, и мы работаем над их удалением. https://t.co/vSlSQUaRmX

- Михайло Бьелич (@MihailoBjelic) 14 февраля 2022

«Они [мультиподписи] считаются оптимальным подходом к защите средств пользователей на ранних этапах разработки и используются почти в каждом проекте масштабирования и объединения».

Бьелич указывает на отчет о прозрачности, в котором подробно описан «план по улучшению и, в конечном итоге, удалению мультиподписей». Затем Бьелич обращается к некоторым моментам в твите Бонса.

«Мошенничество с выездом не является реальной проблемой для Polygon»

По словам Бьелича, мошенничество с выездом не является серьезной проблемой для Polygon; мультиподписи используются для защиты пользователей от взлома, и Polygon использует мультиподпись таким образом, потому что они несут ответственность, вопреки обвинениям.

Согласно критике Бонса, пять из восьми мультиподписей «совершенно недостаточны» для защиты средств на сумму до 5 миллиардов долларов, и что четыре из этих восьми мультиподписей были «отданы» сторонним сторонам, выбранным Polygon. Для Бонса это может представлять собой риск сговора.

Однако, по словам BjelicI, внешние стороны являются «уважаемыми проектами Ethereum/Polygon и не были выбраны Polygon, они решили участвовать».

«Чем больше подписантов, тем сложнее их согласовать, если требуется немедленная реакция. Мы пытаемся найти здесь правильный баланс; у нас уже больше подписантов, чем в большинстве других масштабируемых проектов», — отвечает Бьеличи.

Вот что должен делать Polygon

В своих твитах Бонс также делится некоторыми советами с командой Polygon.

По мнению Бонса, Polygon должен децентрализовать собственное управление на основе держателей токенов Matic. В настоящее время это все еще слишком централизовано, следуя модели DPoS (Delegated Proof of Stake) с небольшим количеством валидаторов. В соответствии с данным из обозревателя блоков Polygon Plygonscan только четыре валидатора добыли большую часть блоков за последние семь дней.

После того, как Polygon децентрализовал свое управление. По словам Бонса, им придется передать ключ администратора смарт-контракта держателям токенов Matic. Эффективная передача управления «Matic DAO». Скорее всего, это потребует перехода на новый смарт-контракт Polygon.

«Очевидно, что это будет очень сложно и дорого сделать. Тем не менее, это цена, которую приходится платить за неправильные действия. Это цена, которую мы платим за децентрализацию и сопровождающую ее безопасность. Это то, чем должна быть криптовалюта», — написал Бонс в Твиттере.

В своем ответе Белич говорит, что предлагаемое решение «определенно является нашей целью, как описано в отчете о прозрачности. Однако это увеличит время реакции в случае ошибки, поэтому она будет внедряться и активироваться постепенно».

CryptoSlate обратился к Polygon за комментариями, но на момент написания не получил ответов. Некоторые цитаты были отредактированы для ясности.