原文作者:Justin Bons
原文编译:深潮 TechFlow
Polygon 仍然是高度不安全和中心化的。只需要 5 个人就可以影响超过 20 亿美元的资金,更糟的是,这 5 人中有 4 人是 Polygon 的创始人。这可能会是最大规模的黑客攻击之一,正等待着发生。
Polygon 的管理员密钥是由 8 个多重签名合约中的 5 个控制的。创始人控制着前 4 个,后面的 4 个由 Polygon 的各团体持有,这意味着他们缺乏公平性。只要有一个团体与创始人合谋,就可以获得控制权。
控制合约的管理密钥等于拥有改变规则的权力,到那时一切皆有可能。包括清空整个 Polygon,目前价值超过 20 亿美元。
更糟糕的是,就他们的操作安全性和创建多重签名合约的加密仪式而言,Polygon 已经完全不透明了。由于透明度对于至少建立对多重签名的信任是至关重要的,这算得上是很糟糕的事了。
在不透明的情况下,是否某些人已经控制了私钥,我们无从得知。
更匪夷所思的是,来自 DeFiWatch 的 ChrisBlec 在 2020 年 5 月 20 日正式要求他们披露信息,Polygon 团队居然拒绝回应,这种缺乏回应的情况本身就应该被视为一个巨大的危险信号。
ChrisBlec 直到今天仍在继续反对这种缺乏透明度的行为。2021 年 5 月 15 日,Polygon 确实发布了一份“透明度报告”。然而,这份报告其实只是对现状的一种辩护,该报告未涵盖运营安全的任何方面,或者是创建管理员密钥时的加密行为,只是进一步证明使用这种多重签名的合理性。
换句话说,这是对我和 ChrisBlec 的批评的一个完全不充分的回应。2022 年 1 月 19 日,Polygon 发布了他们的 "治理状况:去中心化"。
我知道这种做法在整个加密货币生态系统中已经非常普遍了。但我只想说 Polygon,因为它们是存在此问题的最大加密货币之一。
Polygon 有机会成为该领域的领导者,因为行业规范必须改变。Polygon 可以并且应该在那个方向上带头。我知道,在早期阶段,多重签名是最佳的选择,但是 20 亿美元的 TVL 意味着 Polygon 已经过了早期阶段。
在缺乏安全性的情况下,还拥有如此多的钱,聪明人一看就知道这是一场亟待发生的灾难。
这与创始人的素质无关,与我的其他一些批评不同,我确实尊重 Polygon 的创始人,我确实相信他们是好人,但这会使得这件事变得更加困难。
创始人们对自己有信心。引用 MihailoBjelic 的话:"摆脱骗局对 Polygon 来说不算什么问题。”我知道,这是他的真心话,因为他可以相信自己,但其他人不可能知道他心里在想什么。我们不要单纯的相信,人们需要核实。
Polygon 责怪 ChrisBlec 没有提供替代方案,这不公平。虽然我将为 Polygon 提供一个明确的替代方案,这样就没有借口了。
首先,Polygon 必须在 Matic 代币持有人的基础上去中心化自己的治理权。目前,Polygon 的治理仍然过于中心化,遵循具有少量验证者的 DPoS 模型。幸运的是,Polygon 的“治理状态”已经奠定了解决这个问题的基础。一旦 Polygon 实现了它的去中心化治理模式:
创始人将不得不把智能合约管理密钥的权力交给 Matic 代币持有者,有效地将控制权移交给“Polygon DAO”。不过,这需要迁移到新的 Polygon 智能合约上,是一件非常困难且成本高昂的一件事情。
但这就是我们为一开始就没有做对事情而付出的代价,这是我们为去中心化和随之而来的安全所付出的代价,这就是加密货币的意义所在,假装安全和去中心化对这个领域来说是不够的。
为了使这一批评更具有建设性,我认为 ZEC 就可以作为一个广泛的例子,或者像 REP、UNI 和 AAVE 那样烧掉管理员密钥。DAO 应该控制管理员密钥,这样可以更安全地完成多重签名的操作。
这是一条清晰的救赎之路,Polygon 完全有机会以身作则,基础已经打好,Polygon 可以迈出下一步行动,拥抱更加去中心化的未来。
原文链接