Polygon — это, пожалуй, самая популярная альтернатива транзакциям непосредственно на базовом уровне Ethereum (L1), дающая пользователям возможность совершать быстрые транзакции с низкой комиссией. Polygon (MATIC) наиболее известен как так называемый сайдчейн для Ethereum, то есть блокчейн, совместимый с виртуальной машиной Ethereum (EVM), на котором работает собственный набор узлов-валидаторов. Тем не менее, команда Polygon также вложила значительные средства в чистую технологию Layer-2 и предоставляет такие услуги, как решение для масштабирования Miden на основе zk-STARKs.
Конечно, с успехом приходит ответственность за сохранность всех средств, которые пользователи вливают в сеть. В твиттере Джастин Бонс, основатель и ИТ-директор Cyber Capital, обвиняет команду Polygon в использовании слабых мер безопасности, в первую очередь в отношении многоподписного контракта смарт-контракта Polygon, который контролирует ключ администратора смарт-контракта Polygon. По словам Бонса, этот ключ, в свою очередь, контролирует средства на сумму более 5 миллиардов долларов.
1/14) Полигон в его нынешнем состоянии небезопасен и централизован!
Потребуется всего 5 человек, чтобы скомпрометировать более 5 миллиардов долларов!
Четверо из этих людей являются основателями Poly!
Это один из крупнейших взломов или мошеннических действий, которые только и ждут своего часа.
Безрассудный и безответственный, предупреждение мудрым:
— Джастин Бонс (@Justin_Bons) 12 февраля 2022 г.
«Polygon в его нынешнем состоянии небезопасен и централизован! Чтобы скомпрометировать более 5 миллиардов долларов, потребуется всего пять человек! Четверо из этих людей являются основателями Polygon! твиты
«Команда Polygon может получить полный контроль над Polygon»
«Ключ администратора смарт-контракта Polygon контролируется контрактом с несколькими подписями пять из восьми. Это означает, что Polygon [команда] может получить полный контроль над Polygon только с одной из четырех внешних сторон в сговоре. Остальные четыре стороны в Polygon также выбрал multisig», — продолжает Бонс.
По словам Бонса, это также означает, что эти четыре другие стороны «не совсем беспристрастны». Контроль над ключом администратора контракта означает право изменять правила. В этот момент «все становится возможным». Включая опустошение всего контракта Полигона.
Некоторая критика также направлена на предполагаемую непрозрачность Polygon. Это не первый раз, когда предполагаемая непрозрачность Polygon находится на столе. Крис Блек из DeFi Watch ранее отправил запрос команде Polygon с просьбой внести ясность. По словам Бонса и Блека, Polygon не ответил на запрос Блека.
Однако команда Polygon не совсем молчит по этому поводу, поскольку вопросы такого типа возникали и раньше. Команда ранее опубликовала отчет о прозрачности с несколькими подписями, чтобы внести ясность в этот вопрос. В ответ на твит Бонса Михайло Бьелич, соучредитель Polygon, косвенно подтверждает опасения по поводу мультиподписей, поскольку Polygon «работает над их устранением». Мультиподпись была реализована на «ранней фазе» и, очевидно, не является идеальным решением по мере роста системы.
1/9 Использование мультиподписей обсуждалось много раз. В основном для новичков, давайте еще раз рассмотрим ключевые моменты.
TL;DR: мультиподписи используются для повышения безопасности, а не для ее снижения. Polygon ответственно использует их, и мы работаем над их удалением. https://t.co/vSlSQUaRmX
— Михайло Бьелич (@MihailoBjelic) 14 февраля 2022 г.
«Они [мультиподписи] считаются оптимальным подходом к защите средств пользователей на ранних этапах разработки и используются почти в каждом проекте масштабирования и объединения».
Бьелич указывает на отчет о прозрачности, в котором подробно описан «план по улучшению и, в конечном итоге, удалению мультиподписей». Затем Бьелич обращается к некоторым моментам в твите Бонса.
«Мошенничество с выездом не является реальной проблемой для Polygon»
По словам Бьелича, мошенничество с выездом не является серьезной проблемой для Polygon; мультиподписи используются для защиты пользователей от взлома, и Polygon использует мультиподпись таким образом, потому что они несут ответственность, вопреки обвинениям.
Согласно критике Бонса, пять из восьми мультиподписей «совершенно недостаточны» для защиты средств на сумму до 5 миллиардов долларов, и что четыре из этих восьми мультиподписей были «отданы» сторонним сторонам, выбранным Polygon. Для Бонса это может представлять собой риск сговора.
Однако, по словам BjelicI, внешние стороны являются «уважаемыми проектами Ethereum/Polygon и не были выбраны Polygon, они решили участвовать».
«Чем больше подписантов, тем сложнее их координировать в случае, если требуется немедленная реакция. Мы пытаемся найти здесь правильный баланс, у нас уже больше подписантов, чем в большинстве других масштабируемых проектов», — отвечает Бьеличи.
Вот что должен делать Polygon
В своих твитах Бонс также делится некоторыми советами с командой Polygon.
По мнению Бонса, Polygon должен децентрализовать собственное управление на основе держателей токенов Matic. В настоящее время это все еще слишком централизовано, следуя модели DPoS (Delegated Proof of Stake) с небольшим количеством валидаторов. Согласно данным обозревателя блоков Polygon Plygonscan, только четыре валидатора добыли большую часть блоков за последние семь дней.
После того, как Polygon децентрализовал свое управление. По словам Бонса, им придется передать ключ администратора смарт-контракта держателям токенов Matic. Эффективная передача управления «Matic DAO». Скорее всего, это потребует перехода на новый смарт-контракт Polygon.
«Очевидно, что это было бы очень сложно и дорого сделать. Однако, для начала, это цена, которую приходится платить за неправильные действия. Это цена, которую мы платим за децентрализацию и безопасность, которая сопутствует этому. все должно быть связано с криптовалютой», — пишет Бонс в Твиттере.
В своем ответе BjelicI говорит, что предлагаемое решение «определенно является нашей целью, как описано в отчете о прозрачности. Однако это увеличит время реакции в случае ошибки, поэтому оно будет внедряться и активироваться постепенно».
CryptoSlate обратился к Polygon за комментариями, но на момент написания не получил ответов. Некоторые цитаты были отредактированы для ясности.
Источник
