Чи є Polygon Safu? Критики: Multisig недостатньо безпечний, 5 мільярдів доларів під загрозою

Polygon є, мабуть, найпопулярнішою альтернативою транзакціям безпосередньо на базовому рівні Ethereum (L1), що дає користувачам можливість здійснювати швидкі транзакції з низькими комісіями. Багатокутник (МАТИКА) найбільш відомий як так званий бічний ланцюг до Ethereum, тобто блокчейн, сумісний з віртуальною машиною Ethereum (EVM), з власним набором вузлів перевірки. Проте команда Polygon також має інвестицій значною мірою в чистому рівні технології Layer-2 і надає такі послуги, як рішення для масштабування Miden на базі zk-STARK.

Звичайно, з успіхом приходить відповідальність за збереження всіх коштів, які користувачі вливають у мережу. У твіті Джастін Бонс, засновник і директор з інформаційних технологій Кібер Капітал, звинувачує команду Polygon у застосуванні слабких заходів безпеки, насамперед навколо контракту мультипідпису для смарт-контракту Polygon, який контролює ключ адміністратора смарт-контракту Polygon. За словами Бонса, цей ключ, у свою чергу, контролює понад 5 мільярдів доларів.

1/14) Багатокутник у його поточному стані небезпечний і централізований!

Знадобиться лише 5 людей, щоб скомпрометувати понад 5 мільярдів доларів!

4 з цих людей є засновниками Poly!

Це один з найбільших зломів або шахрайств із виходом, які просто чекають свого часу

Безрозсудний і безвідповідальний, попередження для мудрих:

— Джастін Бонс (@Justin_Bons) 12 Лютого, 2022

«Полігон у його поточному стані небезпечний і централізований! Щоб скомпрометувати понад 5 мільярдів доларів, знадобиться лише п’ять людей! Четверо з цих людей є засновниками Polygon! Це один з найбільших зломів або шахрайств з виходом, які просто чекають свого часу», – написав Бонс у Twitter

«Команда Polygon може отримати повний контроль над Polygon»

«Ключ адміністратора смарт-контракту Polygon контролюється п’ятьма з восьми контрактів із кількома підписами. Це означає, що Polygon [команда] може отримати повний контроль над Polygon, якщо тільки одна з чотирьох сторонніх сторін вступає в змову. Інші чотири сторони в мультипідписі також були обрані Polygon», – продовжує Бонс.

За словами Бонса, це також означає, що ці чотири інші сторони «не зовсім безсторонні». Контроль над ключем адміністратора контракту дорівнює повноваженням змінювати правила. У цей момент «все стає можливим». Включно зі спустошенням усього контракту Polygon.

Деякі критики також вказуються на нібито відсутність прозорості Polygon. Це не перший випадок, коли мова йде про імовірну непрозорість Polygon. Кріс Блек на DeFi Watch раніше надіслано a запросити команді Polygon з проханням надати ясність. За словами Бонса і Блека, Polygon не відповів на запит Блека.

Однак Багатокутник команда не мовчить з цього приводу, оскільки питання такого типу виникали раніше. Команда раніше опублікований звіт про прозорість із кількома підписами, щоб внести ясність у це питання. У відповідь на твіт Бонса Михайло Бєліч, співзасновник Polygon, побічно підтверджує занепокоєння щодо кількох підписів, оскільки Polygon «працює над їх видаленням». Multisig було реалізовано на «ранній фазі» і, мабуть, не є ідеальним рішенням у міру зростання системи.

1/9 Використання мультисигів розглядалося багато разів. В основному заради новачків, давайте ще раз розглянемо ключові моменти.

TL;DR: Multisigs використовуються для підвищення безпеки, а не для її зниження. Polygon відповідально використовує їх, і ми працюємо над їх видаленням. https://t.co/vSlSQUaRmX

- Михайло Бєліч (@MihailoBjelic) 14 Лютого, 2022

«Вони [multisigs] вважаються оптимальним підходом для захисту коштів користувачів на ранніх етапах розробки і використовуються майже в кожному проекті масштабування та з’єднання».

Бєліч вказує на звіт про прозорість, де детально описується «план покращення та в кінцевому підсумку видалення мультисигналів». Потім Бєліч звертається до деяких моментів у твіті Бонса.

«Шахрайство з виходом не є реалістичною проблемою для Polygon»

За словами BjelicI, афера з виходом не є реалістичною проблемою для Polygon; multisigs використовуються для захисту користувачів від злому, а Polygon використовує multisig так, як це робить, тому що вони несуть відповідальність, всупереч звинуваченням.

Згідно з критикою Бонса, п’ять із восьми мультипідписів «цілком недостатньо» для захисту коштів на суму до 5 мільярдів доларів, і чотири з цих восьми мультипідписів були «надані» стороннім особам, обраним Polygon. Для Bons це може становити ризик змови.

Проте, за словами BjelicI, сторонні сторони є «авторитетними проектами Ethereum/Polygon і не були відібрані Polygon, вони вирішили взяти участь».

«Чим більше підписантів, тим важче їх координувати, якщо потрібна негайна реакція. Тут ми намагаємося знайти правильний баланс; ми вже маємо більше підписників, ніж більшість інших проектів масштабування», — відповідає Бєліч.

Ось що повинен робити Polygon

У своїх твітах Бонс також ділиться деякими порадами з командою Polygon.

На думку Бонса, Polygon має децентралізувати власне управління на основі власників токенів Matic. Наразі це все ще занадто централізовано відповідно до моделі DPoS (Delegated Proof of Stake) з невеликою кількістю валідаторів. Відповідно до дані від дослідника блоків Polygon Plygonscan лише чотири валідатори видобули більшість блоків за останні сім днів.

Після того, як Polygon децентралізував своє управління. Бонс припускає, що їм доведеться передати ключ адміністратора смарт-контракту власникам токенів Matic. Ефективна передача управління «Matic DAO». Для цього, швидше за все, буде потрібно перехід на новий смарт-контракт Polygon.

«Зрозуміло, що зробити це буде дуже важко та дорого. Однак це ціна, яку потрібно заплатити за те, що ви все робите неправильно. Це ціна, яку ми платимо за децентралізацію та безпеку, яка супроводжується цим. Це те, чим повинна бути криптовалюта», — написав Бонс у Twitter.

У своїй відповіді Бєліч каже, що запропоноване рішення «безперечно є нашою метою, як описано у звіті про прозорість. Однак це збільшить час реакції у разі помилки, тому воно буде впроваджуватися та активуватися поступово».

CryptoSlate звернувся до Polygon за коментарями, але не отримав відповіді на момент написання. Деякі цитати відредаговано для наочності.