Is Polygon veilig? Critici: Multisig is niet veilig genoeg, $ 5 miljard in gevaar

Polygon is misschien wel het meest populaire alternatief voor directe transacties op de Ethereum-basislaag (L1), waardoor gebruikers de mogelijkheid hebben om snelle transacties uit te voeren tegen lage kosten. veelhoek (MATIC) is vooral bekend als een zogenaamde zijketen naar Ethereum, dat wil zeggen een Ethereum Virtual Machine (EVM) compatibele blockchain met zijn eigen set validatorknooppunten. Het Polygon-team heeft echter ook: investeerde zwaar in pure Layer-2-technologie en biedt diensten zoals de op zk-STARKs gebaseerde Miden-schaaloplossing.

Met succes komt natuurlijk de verantwoordelijkheid om al het geld dat gebruikers in het netwerk storten te beschermen. In een tweet-thread, Justin Bons, oprichter & CIO van Cyber ​​Kapitaal, beschuldigt het Polygon-team van het toepassen van lakse beveiligingsmaatregelen, voornamelijk rond het Polygon smart contract multisig-contract dat de Polygon smart contract-beheerderssleutel bestuurt. Deze sleutel beheert op zijn beurt meer dan $ 5 miljard aan fondsen, volgens Bons.

1/14) Polygoon in zijn huidige staat is onveilig en gecentraliseerd!

Er zouden slechts 5 mensen nodig zijn om meer dan $ 5 miljard te compromitteren!

4 van die mensen zijn de oprichters van Poly!

Dit is een van de grootste hacks of exit-scams die wachten om te gebeuren

Roekeloos en onverantwoordelijk, een waarschuwing voor de wijzen:

- Justin Bons (@Justin_Bons) 12 februari 2022

“Polygon in zijn huidige staat is onveilig en gecentraliseerd! Er zouden slechts vijf mensen nodig zijn om meer dan $ 5 miljard te compromitteren! Vier van die mensen zijn de oprichters van Polygon! Dit is een van de grootste hacks of exit-scams die nog moeten gebeuren”, tweet Bons

“Het Polygon-team kan volledige controle krijgen over Polygon”

“De beheerderssleutel van Polygon Smart Contract wordt beheerd door een contract van vijf van de acht met meerdere handtekeningen. Dit betekent dat het Polygon [team] volledige controle over Polygon kan krijgen met slechts een van de vier externe partijen die samenzweren. Ook de andere vier partijen in de multisig zijn door Polygon geselecteerd”, vervolgt Bons.

Volgens Bons betekent dit ook dat deze vier andere partijen "niet bepaald onpartijdig zijn". Controle over de contractbeheerderssleutel staat gelijk aan de macht om de regels te wijzigen. Op dat moment wordt 'alles mogelijk'. Inclusief het leegmaken van het gehele Polygon contract.

Enige kritiek wordt ook gewezen op het vermeende gebrek aan transparantie van Polygon. Dit is niet de eerste keer dat de vermeende ondoorzichtigheid van Polygon op tafel komt. Chris Blek bij DeFi Watch stuurde eerder een te vragen aan het Polygon-team om duidelijkheid te vragen. Volgens zowel Bons als Blec heeft Polygon niet gereageerd op het verzoek van Blec.

De Veelhoek Het team zwijgt niet helemaal over de kwestie, aangezien dit soort vragen al eerder zijn gerezen. Het team heeft eerder gepubliceerde een multisig-transparantierapport om duidelijkheid te scheppen. In een reactie op de tweet van Bons bevestigt Mihailo Bjelic, mede-oprichter van Polygon, indirect de multisig-zorgen aangezien Polygon "werkt om ze weg te nemen". De multisig is in een "vroege fase" geïmplementeerd en is blijkbaar geen ideale oplossing naarmate het systeem groeit.

1/9 Het gebruik van multisigs is al vele malen aan de orde geweest. Laten we, vooral voor nieuwkomers, de belangrijkste punten nog eens bespreken.

TL;DR: Multisigs worden gebruikt om de beveiliging te vergroten, niet om deze te verlagen. Polygon gebruikt ze op verantwoorde wijze en we werken eraan ze te verwijderen. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) 14 februari 2022

"Ze [multisigs] worden beschouwd als de optimale benadering om gebruikersfondsen in de vroege ontwikkelingsfasen veilig te stellen en worden door bijna elk schaal- en overbruggingsproject gebruikt."

Bjelic wijst op het transparantierapport waarin het "plan om multisigs te verbeteren en uiteindelijk te verwijderen" wordt beschreven. Bjelic gaat vervolgens in op enkele punten in de tweet van Bons.

"Exit scam is geen realistische zorg voor Polygon"

Volgens BjelicI is een exit-zwendel geen realistische zorg voor Polygon; multisigs worden gebruikt om gebruikers te beschermen tegen hacks, en Polygon gebruikt de multisig zoals het doet omdat ze verantwoordelijk zijn, in tegenstelling tot de beschuldigingen.

Volgens de kritiek van Bons is vijf van de acht multisigs "volstrekt onvoldoende" om maar liefst $ 5 miljard aan fondsen te beschermen, en dat vier van die acht multisigs werden "gegeven" aan externe partijen die door Polygon waren geselecteerd. Voor Bons kan dit een risico op collusie inhouden.

Volgens BjelicI zijn de externe partijen echter "gerenommeerde Ethereum/Polygon-projecten en werden niet geselecteerd door Polygon, ze besloten om deel te nemen."

“Hoe meer ondertekenaars, hoe moeilijker het is om ze te coördineren voor het geval er onmiddellijk moet worden gereageerd. We proberen hier de juiste balans te vinden; we hebben al meer ondertekenaars dan de meeste andere schaalprojecten”, antwoordt BjelicI.

Dit is wat Polygon zou moeten doen

In zijn tweets deelt Bons ook wat advies met het Polygon-team.

Volgens Bons moet Polygon zijn eigen bestuur decentraliseren op basis van de Matic-tokenhouders. Momenteel is dit nog veel te gecentraliseerd volgens een DPoS-model (Delegated Proof of Stake) met een laag aantal validators. Volgens gegevens van de Polygon-blokverkenner Plygonscan hebben slechts vier validators de afgelopen zeven dagen een meerderheid van de blokken gedolven.

Zodra Polygon hun bestuur heeft gedecentraliseerd. Ze zullen de beheersleutel van het slimme contract moeten overdragen aan de Matic-tokenhouders, stelt Bons voor. Effectief de controle overdragen aan de "Matic DAO". Dit zou hoogstwaarschijnlijk een migratie naar een nieuw Polygon Smart-contract vereisen.

“Dit zou natuurlijk heel moeilijk en kostbaar zijn om te doen. Dat is echter de prijs die moet worden betaald voor het niet goed doen van dingen, om mee te beginnen. Het is de prijs die we betalen voor decentralisatie en de veiligheid die daarbij hoort. Dit is waar cryptocurrency over zou moeten gaan”, tweet Bons.

In zijn antwoord zegt BjelicI dat de voorgestelde oplossing “zeker ons doel is, zoals beschreven in het transparantieverslag. Dit verhoogt echter de reactietijd in geval van een bug, dus het zal geleidelijk worden geïmplementeerd en geactiveerd.”

CryptoSlate heeft contact opgenomen met Polygon voor commentaar, maar kreeg op het moment van schrijven geen antwoorden. Voor de duidelijkheid zijn enkele citaten aangepast.