Poligon safu mu? Eleştirmenler: Multisig yeterince güvenli değil, 5 milyar dolar tehlikede

Polygon, doğrudan Ethereum temel katmanı (L1) üzerinde işlem yapmanın belki de en popüler alternatifidir ve kullanıcılara düşük ücretlerle hızlı işlemler yapma fırsatı verir. Çokgen (MATİC) en iyi şekilde Ethereum'un yan zinciri olarak bilinir; yani kendi doğrulayıcı düğüm kümesini çalıştıran Ethereum Sanal Makinesi (EVM) uyumlu bir blok zinciridir. Ancak Polygon ekibi aynı zamanda yatırım ağırlıklı olarak saf Layer-2 teknolojisine sahiptir ve zk-STARKs tabanlı Miden ölçeklendirme çözümü gibi hizmetler sağlar.

Elbette başarı, kullanıcıların ağa akıttığı tüm fonları koruma sorumluluğunu da beraberinde getiriyor. Bir tweet dizisinde Justin Bons, Kurucu ve CIO Siber Sermaye, Polygon ekibini, öncelikle Polygon akıllı sözleşme yönetici anahtarını kontrol eden Polygon akıllı sözleşme çoklu imza sözleşmesi etrafında gevşek güvenlik önlemleri almakla suçluyor. Bons'a göre bu anahtar, 5 milyar doların üzerinde fonu kontrol ediyor.

1/14) Poligon şu anki haliyle güvensiz ve merkezi!

5 Milyar Doların üzerinde uzlaşma için sadece 5 kişi yeter!

Bu insanlardan 4'ü Poly'nin kurucusu!

Bu, gerçekleşmeyi bekleyen en büyük hacklerden veya çıkış dolandırıcılıklarından biridir

Pervasız ve sorumsuz, bilgelere bir uyarı:

- Justin Bons (@Justin_Bons) Şubat 12, 2022

“Poligon şu anki haliyle güvensiz ve merkezileştirilmiş! 5 milyar doların üzerinde uzlaşı için sadece beş kişi yeter! Bu insanlardan dördü Polygon'un kurucuları! Bu, gerçekleşmeyi bekleyen en büyük hack veya çıkış dolandırıcılıklarından biri," diye tweet attı Bons.

“Polygon ekibi Polygon üzerinde tam kontrol sahibi olabilir”

“Polygon akıllı sözleşme yönetici anahtarı, sekiz çoklu imza sözleşmesinin beşi tarafından kontrol ediliyor. Bu, Polygon'un [ekibinin], dört dış taraftan yalnızca birinin komplo kurmasıyla Polygon üzerinde tam kontrol sahibi olabileceği anlamına gelir. Çoklu imzadaki diğer dört parti de Polygon tarafından seçildi,” diye devam ediyor Bons.

Bons'a göre bu aynı zamanda diğer dört partinin de "tam olarak tarafsız olmadığı" anlamına geliyor. Sözleşme yönetici anahtarı üzerindeki kontrol, kuralları değiştirme gücüne eşittir. Bu noktada "her şey mümkün hale gelir." Tüm Poligon sözleşmesinin boşaltılması da dahil.

Polygon'un şeffaf olmadığı iddiasına da bazı eleştiriler yöneltiliyor. Bu, Polygon'un şeffaf olmadığı iddiasının masaya yatırıldığı ilk sefer değil. Chris Bleck DeFi Watch'ta daha önce bir talep Polygon ekibine netlik rica ediyorum. Hem Bons'a hem de Blec'e göre Polygon, Blec'in isteğine yanıt vermedi.

Bununla birlikte, Çokgen Bu tür sorular daha önce de ortaya çıktığı için ekip bu konuda tamamen sessiz değil. Ekip daha önce yayınlanan konuya açıklık getirmek için çoklu imzalı bir şeffaflık raporu. Bons'un tweet'ine yanıt olarak Polygon'un kurucu ortağı Mihailo Bjelic, Polygon'un "bunları ortadan kaldırmaya çalıştığını" dolaylı olarak çoklu imza endişelerini doğruladı. Çoklu imza "erken aşamada" uygulandı ve sistem büyüdükçe görünüşe göre ideal bir çözüm değil.

1/9 Çoklu imza kullanımı birçok kez ele alınmıştır. Özellikle yeni gelenler için, kilit noktaları bir kez daha ele alalım.

TL;DR: Multisigs are used to increase security, not to decrease it. Polygon is responsibly using them, and we are working towards removing them. https://t.co/vSlSQUaRmX

- Mihailo Bjelic (@MihailoBjelic) Şubat 14, 2022

"Bunlar (multisigs), geliştirmenin ilk aşamalarında kullanıcı fonlarını güvence altına almak için en uygun yaklaşım olarak kabul ediliyor ve neredeyse her ölçeklendirme ve köprüleme projesi tarafından kullanılıyor."

Bjelic, "çoklu imzaları iyileştirme ve sonunda kaldırma planını" ayrıntılarıyla anlatan şeffaflık raporuna dikkat çekiyor. Bjelic daha sonra Bons'un tweet'indeki bazı noktalara değiniyor.

“Çıkış dolandırıcılığı Polygon için gerçekçi bir endişe değil”

Bjelic'e göre çıkış dolandırıcılığı Polygon için gerçekçi bir endişe değil; multisig'ler kullanıcıları hack'lerden korumak için kullanılıyor ve Polygon, suçlamaların aksine sorumlu oldukları için multisig'i bu şekilde kullanıyor.

Bons'un eleştirisine göre, sekiz çoklu imzadan beşi, 5 milyar dolarlık fonu korumak için "tamamen yetersiz" ve bu sekiz çoklu imzadan dördü, Polygon tarafından seçilen dış taraflara "verildi". Bons'a göre bu bir gizli anlaşma riski oluşturabilir.

Ancak Bjelic'e göre dışarıdaki taraflar "saygın Ethereum/Polygon projeleri ve Polygon tarafından seçilmediler, katılmaya karar verdiler."

"Ne kadar çok imzacı olursa, acil bir tepkinin gerekli olduğu durumlarda onları koordine etmek o kadar zor olur. Burada doğru dengeyi bulmaya çalışıyoruz; Zaten diğer ölçeklendirme projelerinin çoğundan daha fazla imzacımız var," diye yanıtlıyor BjelicI.

İşte Polygon'un yapması gerekenler

Bons, tweet'lerinde Polygon ekibine bazı tavsiyeler de paylaşıyor.

Bons'a göre Polygon, Matic token sahiplerine dayalı olarak kendi yönetimlerini merkezi olmayan bir yapıya kavuşturmak zorunda. Şu anda, az sayıda doğrulayıcıya sahip bir DPoS (Delegated Proof of Stake) modelinin ardından bu hala fazlasıyla merkezileştirilmiştir. Buna göre veri Polygon blok araştırmacısı Plygonscan'den yalnızca dört doğrulayıcı son yedi gün içinde blokların çoğunluğunu çıkardı.

Polygon yönetimlerini merkezi olmayan hale getirdikten sonra. Bons, akıllı sözleşme yönetici anahtarını Matic token sahiplerine aktarmaları gerekeceğini öne sürüyor. Kontrolü etkili bir şekilde “Matic DAO”ya devretmek. Bu büyük olasılıkla yeni bir Polygon Smart sözleşmesine geçiş gerektirecektir.

“Bunun yapılması elbette çok zor ve maliyetli olacaktır. Ancak bu, başlangıçta işleri doğru yapmamanın bedelidir. Bu, merkezi olmayan yönetim ve bununla birlikte gelen güvenlik için ödediğimiz bedeldir. Bons, kripto para biriminin tamamen bununla ilgili olması gerektiğini söyledi.

Bjelici cevabında, önerilen çözümün “şeffaflık raporunda da belirtildiği gibi kesinlikle bizim hedefimiz olduğunu” söylüyor. Ancak bu, bir hata durumunda tepki süresini artıracağından kademeli olarak uygulanacak ve etkinleştirilecektir."

CryptoSlate, yorum almak için Polygon'a ulaştı ancak bu yazının yazıldığı sırada herhangi bir yanıt alamadı. Bazı alıntılar netlik sağlamak amacıyla düzenlendi.