5个人就可影响超20亿美元资金?浅谈Polygon的中心化隐患_Polygon:Polygon Ecosystem Index

原文作者:JustinBons

原文编译:深潮TechFlow

Polygon仍然是高度不安全和中心化的。只需要5个人就可以影响超过20亿美元的资金,更糟的是,这5人中有4人是Polygon的创始人。这可能会是最大规模的黑客攻击之一,正等待着发生。

Polygon的管理员密钥是由8个多重签名合约中的5个控制的。创始人控制着前4个,后面的4个由Polygon的各团体持有,这意味着他们缺乏公平性。只要有一个团体与创始人合谋,就可以获得控制权。

控制合约的管理密钥等于拥有改变规则的权力,到那时一切皆有可能。包括清空整个Polygon,目前价值超过20亿美元。

国际清算银行发布央行数字货币三项必要基本原则:央行数字货币一直是2020年最热门的金融话题之一,许多国家对此资产类型表示了兴趣。据国际清算银行称,七个国家的中央银行与之组成的小组共同合作编制了《央行数字货币:基本原理和核心特征》报告,其中列出三项央行数字货币必要的基本原则,这意味着未来如果中央银行发行此类资产,那么相关生态系统应立足于此原则,这三项基本原则分别是:(i)中央银行不应通过发行央行数字货币来损害法定货币或金融稳定;(ii)央行数字货币必须与现有货币形式共存并互补;(iii)央行数字货币应促进创新和效率。不过国际清算银行透露,中国人民银行本次并没有参与报告编制,但中国已经开始推进数字人民币计划,而且已经启动测试了相关央行数字货币交易。[2020/10/9]

更糟糕的是,就他们的操作安全性和创建多重签名合约的加密仪式而言,Polygon已经完全不透明了。由于透明度对于至少建立对多重签名的信任是至关重要的,这算得上是很糟糕的事了。

动态 | 世界经济论坛与国际贸易中心等合作推行基于区块链的可持续发展地图:作为其加速可持续生产计划的一部分,世界经济论坛(WEF)基于区块链的可持续发展地图(Sustainability Map)现已连接世界各地所有规模的企业。通过世界经济论坛、国际贸易中心(ITC)、兰精公司(Lenzing Group)和Everledger之间的四方合作,可持续发展地图可实现自助服务。企业提供他们所能提供的信息,随着用户基数的增长,地图数据的价值也在增长。许多公司已经将区块链作为一种验证交易和为客户提供可跟踪性的手段,以更好地了解产品的来源。(Springwise)[2020/2/5]

在不透明的情况下,是否某些人已经控制了私钥,我们无从得知。

金色相对论丨国际区块链与数字货币协会副会长高泽龙:BTC底部极限在5000美元左右:在本期金色相对论上,国际区块链与数字货币协会副会长高泽龙表示:就目前而言,个人认为BTC底部极限在5000美元左右,应该不会出现低于5000美元的区域,而且市场在跌至5000美元之前即可反弹,所以很难看到BTC跌到5000美元以下。从BTC的历史最高价格跌至5000美元将导致其从历史最高水平下降75%,而低于此,将导致BTC经历比2014年更糟糕的修正。考虑到公众市场中投资者的兴趣、炒作和需求的差异,BTC在跌至5000美元以下之前就会引来大量全球投资者购入和囤积比特币。华尔街的投资者,往往对短期内价值暴跌50%以上的资产或商品产生浓厚的兴趣,因为它代表了一个可行的买入机会。[2018/6/25]

更匪夷所思的是,来自DeFiWatch的ChrisBlec在2020年5月20日正式要求他们披露信息,Polygon团队居然拒绝回应,这种缺乏回应的情况本身就应该被视为一个巨大的危险信号。

动态 | sodinokibi勒索病大量攻击中韩企业,中招用户被勒索0.15个比特币:腾讯御见威胁情报中心今日发文称,近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病的压缩文件,中文版为“您的账号.zip”、韩文版为“?? 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 ? ??.xls.exe”,都是伪装成表格文件的sodinokibi勒索病。从钓鱼邮件内容格式、主题和投递的样本类型来看,此次针对中国和韩国的攻击为同一来源。根据腾讯御见查看,页面显示需要在6天之内购买并转账约0.15个比特币(约合人民币7800元),6天之后赎金会翻倍。[2019/10/25]

ChrisBlec直到今天仍在继续反对这种缺乏透明度的行为。2021年5月15日,Polygon确实发布了一份“透明度报告”。然而,这份报告其实只是对现状的一种辩护,该报告未涵盖运营安全的任何方面,或者是创建管理员密钥时的加密行为,只是进一步证明使用这种多重签名的合理性。

换句话说,这是对我和ChrisBlec的批评的一个完全不充分的回应。2022年1月19日,Polygon发布了他们的"治理状况:去中心化"。

我知道这种做法在整个加密货币生态系统中已经非常普遍了。但我只想说Polygon,因为它们是存在此问题的最大加密货币之一。

Polygon有机会成为该领域的领导者,因为行业规范必须改变。Polygon可以并且应该在那个方向上带头。我知道,在早期阶段,多重签名是最佳的选择,但是20亿美元的TVL意味着Polygon已经过了早期阶段。

在缺乏安全性的情况下,还拥有如此多的钱,聪明人一看就知道这是一场亟待发生的灾难。

这与创始人的素质无关,与我的其他一些批评不同,我确实尊重Polygon的创始人,我确实相信他们是好人,但这会使得这件事变得更加困难。

创始人们对自己有信心。引用MihailoBjelic的话:"摆脱局对Polygon来说不算什么问题。”我知道,这是他的真心话,因为他可以相信自己,但其他人不可能知道他心里在想什么。我们不要单纯的相信,人们需要核实。

Polygon责怪ChrisBlec没有提供替代方案,这不公平。虽然我将为Polygon提供一个明确的替代方案,这样就没有借口了。

首先,Polygon必须在Matic代币持有人的基础上去中心化自己的治理权。目前,Polygon的治理仍然过于中心化,遵循具有少量验证者的DPoS模型。幸运的是,Polygon的“治理状态”已经奠定了解决这个问题的基础。一旦Polygon实现了它的去中心化治理模式:

创始人将不得不把智能合约管理密钥的权力交给Matic代币持有者,有效地将控制权移交给“PolygonDAO”。不过,这需要迁移到新的Polygon智能合约上,是一件非常困难且成本高昂的一件事情。

但这就是我们为一开始就没有做对事情而付出的代价,这是我们为去中心化和随之而来的安全所付出的代价,这就是加密货币的意义所在,假装安全和去中心化对这个领域来说是不够的。

为了使这一批评更具有建设性,我认为ZEC就可以作为一个广泛的例子,或者像REP、UNI和AAVE那样烧掉管理员密钥。DAO应该控制管理员密钥,这样可以更安全地完成多重签名的操作。

这是一条清晰的救赎之路,Polygon完全有机会以身作则,基础已经打好,Polygon可以迈出下一步行动,拥抱更加去中心化的未来。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-3:952ms