Är polygon säkert? Kritiker: Multisig är inte tillräckligt säkert, 5 miljarder dollar i fara

Polygon är kanske det populäraste alternativet till att handla direkt på Ethereums basskikt (L1), vilket ger användarna möjlighet att göra snabba transaktioner med låga avgifter. Polygon (MATIC) är mest känd som en så kallad sidokedja till Ethereum, dvs en Ethereum Virtual Machine (EVM)-kompatibel blockkedja som kör sin egen uppsättning validatornoder. Det har dock Polygon-teamet också investerat mycket i ren Layer-2-teknologi och tillhandahåller tjänster som zk-STARKs baserade Miden-skalningslösning.

Naturligtvis, med framgång kommer ansvaret att skydda alla medel som användarna strömmar in i nätverket. I en tweet-tråd, Justin Bons, grundare och CIO för Cyberkapital, anklagar Polygon-teamet för att använda slappa säkerhetsåtgärder, främst kring Polygon smart contract multisig-kontraktet som kontrollerar Polygon smart contract admin-nyckel. Denna nyckel kontrollerar i sin tur över 5 miljarder dollar i medel, enligt Bons.

1/14) Polygon i sitt nuvarande tillstånd är osäker och centraliserad!

Det skulle bara ta 5 personer för att kompromissa med över 5 miljarder dollar!

4 av dessa personer är grundarna av Poly!

Detta är en av de största hackarna eller exit-bedrägerierna som bara väntar på att hända

Hänsynslös och oansvarig, en varning till de kloka:

- Justin Bons (@Justin_Bons) Februari 12, 2022

"Polygon i sitt nuvarande tillstånd är osäkert och centraliserat! Det skulle bara ta fem personer för att kompromissa med över 5 miljarder dollar! Fyra av dessa personer är grundarna av Polygon! Det här är ett av de största hacken eller exit-bedrägerierna som bara väntar på att hända”, twittrar Bons

"Polygon-teamet kan få fullständig kontroll över Polygon"

"Adminnyckeln för polygons smarta kontrakt styrs av ett fem av åtta multisignaturkontrakt. Detta innebär att Polygon [teamet] kan få fullständig kontroll över Polygon med endast en av de fyra externa parterna som konspirerar. De övriga fyra partierna i multisig valdes också ut av Polygon”, fortsätter Bons.

Enligt Bons betyder detta också att dessa fyra andra partier "inte precis är opartiska." Kontroll över kontraktsadministratörsnyckeln är lika med makten att ändra reglerna. Då "allt blir möjligt." Inklusive tömning av hela Polygonkontraktet.

Viss kritik riktas också mot Polygons påstådda brist på transparens. Det är inte första gången Polygons påstådda ogenomskinlighet är på bordet. Chris Blec på DeFi Watch skickade tidigare en begära till Polygon-teamet och ber om klarhet. Enligt både Bons och Blec svarade Polygon inte på Blecs begäran.

Emellertid den Polygon teamet är inte helt tysta i frågan eftersom frågor av den här typen har uppstått tidigare. Laget har tidigare publicerade en multisig transparensrapport för att skapa klarhet i frågan. I ett svar på Bons tweet bekräftar Mihailo Bjelic, medgrundare av Polygon, indirekt multisig-bekymmer eftersom Polygon "arbetar för att ta bort dem". Multisig implementerades i en "tidig fas" och är uppenbarligen inte en idealisk lösning när systemet växer.

1/9 Användningen av multisigs har tagits upp många gånger. Främst för nykomlingarnas skull, låt oss återigen täcka nyckelpunkterna.

TL;DR: Multisigs används för att öka säkerheten, inte för att minska den. Polygon använder dem på ett ansvarsfullt sätt, och vi arbetar för att ta bort dem. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) Februari 14, 2022

"De [multisigs] anses vara den optimala metoden för att säkra användarmedel i de tidiga utvecklingsfaserna och används av nästan alla skalnings- och överbryggningsprojekt."

Bjelic pekar på transparensrapporten som beskriver "planen för att förbättra och så småningom ta bort multisigs." Bjelic tar sedan upp några av punkterna i Bons tweet.

"Avsluta bedrägeri är inte en realistisk oro för Polygon"

Enligt BjelicI är en exit-bedrägeri inte en realistisk oro för Polygon; multisigs används för att skydda användare från hack, och Polygon använder multisig som det gör eftersom de är ansvariga, tvärtemot anklagelserna.

Enligt Bons kritik är en fem av åtta multisig "helt otillräcklig" för att skydda så mycket som $5 miljarder i medel, och att fyra av dessa åtta multisigs "gavs" till externa parter som valts ut av Polygon. För Bons kan detta utgöra en risk för maskopi.

Enligt BjelicI är dock de externa parterna "renommerade Ethereum/Polygon-projekt och valdes inte ut av Polygon, de bestämde sig för att delta."

"Ju fler undertecknare, desto svårare är det att samordna dem om en omedelbar reaktion krävs. Vi försöker hitta den rätta balansen här; vi har redan fler undertecknare än de flesta andra skalningsprojekt”, svarar BjelicI.

Här är vad Polygon ska göra

I sina tweets delar Bons också några råd med Polygon-teamet.

Enligt Bons åsikt måste Polygon decentralisera sin egen styrning baserat på innehavarna av Matic-token. För närvarande är detta fortfarande alldeles för centraliserat efter en DPoS-modell (Delegated Proof of Stake) med ett lågt antal validerare. Enligt datum från Polygon-blockutforskaren Plygonscan, har endast fyra validerare utvunnit en majoritet av blocken de senaste sju dagarna.

När Polygon har decentraliserat sin styrning. De kommer att behöva överföra den smarta kontraktsadministratörsnyckeln till Matic-tokenhållarna, föreslår Bons. Vänder effektivt över kontrollen till "Matic DAO". Detta skulle med största sannolikhet kräva en migrering till ett nytt Polygon Smart-kontrakt.

"Det här skulle uppenbarligen vara mycket svårt och kostsamt att göra. Men det är priset att betala för att inte göra saker rätt till att börja med. Det är priset vi betalar för decentralisering och säkerheten som följer med det. Det här är vad kryptovaluta ska handla om”, twittrar Bons.

I sitt svar säger BjelicI att den föreslagna lösningen "definitivt är vårt mål, som beskrivs i transparensrapporten. Detta kommer dock att öka reaktionstiden i händelse av en bugg, så det kommer att implementeras och aktiveras gradvis."

CryptoSlate har kontaktat Polygon för kommentarer, men fått inga svar i skrivande stund. Några av citaten har redigerats för tydlighetens skull.