Палігон сафу? Крытыкі: Multisig недастаткова бяспечны, 5 мільярдаў долараў пад пагрозай

Polygon - гэта, бадай, самая папулярная альтэрнатыва транзакцый непасрэдна на базавым узроўні Ethereum (L1), якая дае карыстальнікам магчымасць здзяйсняць хуткія транзакцыі з нізкай камісіяй. шматкутнік (МАТЫКА) найбольш вядомы як так званы бакавы ланцужок для Ethereum, г.зн. блокчейн, сумяшчальны з віртуальнай машынай Ethereum (EVM), які працуе са сваім уласным наборам вузлоў валідатара. Тым не менш, каманда Polygon таксама мае інвеставаны у значнай ступені ў чыстай тэхналогіі Layer-2 і прадастаўляе такія паслугі, як рашэнне для маштабавання Miden на аснове zk-STARK.

Вядома, з поспехам прыходзіць адказнасць за захаванне ўсіх сродкаў, якія карыстальнікі ўліваюць у сетку. У твітэры Джасцін Бонс, заснавальнік і ІТ-дырэктар кампаніі Кібер капітал, абвінавачвае каманду Polygon ва ўжыванні слабых мер бяспекі, у першую чаргу ў дачыненні да шматпадпіснага кантракту смарт-кантракту Polygon, які кантралюе ключ адміністратара смарт-кантракту Polygon. Па словах Бонса, гэты ключ, у сваю чаргу, кантралюе больш за 5 мільярдаў долараў.

1/14) Палігон у яго цяперашнім стане небяспечны і цэнтралізаваны!

Спатрэбілася б усяго 5 чалавек, каб атрымаць кампраміс больш за 5 мільярдаў долараў!

Чатыры з гэтых людзей з'яўляюцца заснавальнікамі Poly!

Гэта адзін з найбуйнейшых узломаў або выхадных махлярстваў, якія толькі чакаюць свайго здарэння

Безразважны і безадказны, папярэджанне мудрым:

— Джасцін Бонс (@Justin_Bons) Люты 12, 2022

«Палігон у сваім цяперашнім стане небяспечны і цэнтралізаваны! Спатрэбілася б усяго пяць чалавек, каб скампраметаваць больш за 5 мільярдаў долараў! Чацвёра з гэтых людзей з'яўляюцца заснавальнікамі Polygon! Гэта адзін з найбуйнейшых узломаў або выхадных махлярстваў, якія толькі чакаюць свайго здарэння», — піша Бонс у твітэры

«Каманда Polygon можа атрымаць поўны кантроль над Polygon»

«Ключ адміністратара смарт-кантракту Polygon кіруецца кантрактам з пяццю з васьмі мульты-подпісаў. Гэта азначае, што Polygon [каманда] можа атрымаць поўны кантроль над Polygon толькі з адным з чатырох знешніх бакоў у змове. Астатнія чатыры партыі ў multisig таксама былі выбраны Polygon», — працягвае Бонс.

Па словах Бонса, гэта таксама азначае, што гэтыя чатыры іншыя партыі «не зусім бесстароннія». Кантроль над ключом адміністратара кантракта роўны правам змяняць правілы. У гэты момант «усё становіцца магчымым». Уключаючы ачыстку ўсяго кантракту Polygon.

Некаторая крытыка таксама накіравана на меркаваную непразрыстасць Polygon. Гэта не першы выпадак, калі меркаваная непразрыстасць Polygon разглядаецца. Крыс Блек у DeFi Watch раней адправілі a запыт камандзе Polygon з просьбай аб яснасці. Па словах Бонса і Блека, Polygon не адказала на запыт Блека.

Тым не менш, шматкутнік каманда не маўчыць па гэтым пытанні, бо пытанні такога тыпу ўзнікалі і раней. Каманда раней апублікаваны справаздачу аб празрыстасці з некалькімі падпіскамі, каб унесці яснасць у справу. У адказе на твіт Бонса Міхайла Б'еліч, сузаснавальнік Polygon, ускосна пацвярджае занепакоенасць мультысігамі, паколькі Polygon «працуе над іх ліквідацыяй». Multisig быў рэалізаваны на «ранняй стадыі» і, відаць, не з'яўляецца ідэальным рашэннем па меры росту сістэмы.

1/9 Выкарыстанне multisigs разглядалася шмат разоў. Галоўным чынам дзеля пачаткоўцаў, давайце яшчэ раз спынімся на ключавых момантах.

TL; DR: Multisigs выкарыстоўваюцца для павышэння бяспекі, а не для яе зніжэння. Polygon адказна выкарыстоўвае іх, і мы працуем над іх выдаленнем. https://t.co/vSlSQUaRmX

- Міхайла Б'еліч (@MihailoBjelic) Люты 14, 2022

«Яны [multisig] лічацца аптымальным падыходам для забеспячэння сродкаў карыстальнікаў на ранніх этапах распрацоўкі і выкарыстоўваюцца практычна ў кожным праекце маштабавання і пераадолення».

Б'еліч звяртае ўвагу на справаздачу аб празрыстасці, у якой падрабязна апісваецца «план паляпшэння і ў канчатковым выніку выдалення мультысігаў». Затым Б'еліч звяртаецца да некаторых момантаў у твітэры Бонса.

«Афёра з выхадам не з'яўляецца рэальнай праблемай для Polygon»

Па словах BjelicI, махлярства на выхадзе не з'яўляецца рэальнай праблемай для Polygon; multisig выкарыстоўваюцца для абароны карыстальнікаў ад узломаў, і Polygon выкарыстоўвае multisig такім чынам, таму што яны нясуць адказнасць, насуперак абвінавачванням.

Згодна з крытыкай Бонса, пяць з васьмі мультысігаў «цалкам недастатковыя» для абароны 5 мільярдаў долараў сродкаў, і што чатыры з гэтых васьмі мультысігаў былі «аддадзены» староннім асобам, абраным Polygon. Для Бонса гэта можа ўяўляць сабой рызыку змовы.

Аднак, паводле Беліча, знешнія ўдзельнікі з'яўляюцца «аўтарытэтнымі праектамі Ethereum/Polygon і не былі выбраны Polygon, яны вырашылі прыняць удзел».

«Чым больш падпісантаў, тым цяжэй іх каардынаваць, калі спатрэбіцца неадкладная рэакцыя. Мы спрабуем знайсці тут правільны баланс; у нас ужо больш падпісантаў, чым у большасці іншых маштабных праектаў», — адказвае Б'еліч.

Вось што павінен зрабіць Polygon

У сваіх твітах Бонс таксама дзеліцца парадамі з камандай Polygon.

На думку Бонса, Polygon павінен дэцэнтралізаваць сваё ўласнае кіраванне на аснове трымальнікаў токенаў Matic. У цяперашні час гэта ўсё яшчэ занадта цэнтралізавана ў адпаведнасці з мадэллю DPoS (Delegated Proof of Stake) з невялікай колькасцю валідатараў. У адпаведнасці з gegevens з аглядальніка блокаў Polygon Plygonscan толькі чатыры валідатары здабылі большасць блокаў за апошнія сем дзён.

Пасля таго, як Polygon дэцэнтралізаваў сваё кіраванне. Ім давядзецца перадаць ключ адміністратара смарт-кантракту ўладальнікам токенаў Matic, мяркуе Бонс. Фактычна перадача кіравання "Matic DAO". Гэта, хутчэй за ўсё, запатрабуе пераходу на новы смарт-кантракт Polygon.

«Відавочна, што гэта будзе вельмі складана і дорага зрабіць. Тым не менш, гэта цана, якую трэба заплаціць за тое, каб усё рабіць не так, як трэба. Гэта цана, якую мы плацім за дэцэнтралізацыю і бяспеку, якая ідзе разам з гэтым. Вось чым павінна быць крыптавалюта», — піша Бонс у твітэры.

У сваім адказе Беліч кажа, што прапанаванае рашэнне «безумоўна, з'яўляецца нашай мэтай, як апісана ў справаздачы аб празрыстасці. Аднак гэта павялічыць час рэакцыі ў выпадку памылкі, таму ён будзе ўкараняцца і актывавацца паступова».

CryptoSlate звярнуўся да Polygon па каментарыі, але на момант напісання не атрымаў адказаў. Некаторыя з цытат былі адрэдагаваныя для нагляднасці.