Est-ce que Polygon est sûr ? Critiques : Multisig n’est pas assez sécurisé, 5 milliards de dollars en danger

Polygon est peut-être l’alternative la plus populaire pour effectuer des transactions directement sur la couche de base Ethereum (L1), offrant aux utilisateurs la possibilité d’effectuer des transactions rapides avec des frais peu élevés. Polygone (MATIQUE) est mieux connue sous le nom de chaîne latérale vers Ethereum, c’est-à-dire une chaîne de blocs compatible Ethereum Virtual Machine (EVM) exécutant son propre ensemble de nœuds de validation. Cependant, l’équipe Polygon a également investi fortement dans la technologie de couche 2 pure et fournit des services tels que la solution de mise à l’échelle Miden basée sur zk-STARK.

Bien sûr, avec le succès vient la responsabilité de protéger tous les fonds que les utilisateurs versent dans le réseau. Dans un fil de tweet, Justin Bons, fondateur et CIO de Cybercapitale, accuse l’équipe Polygon d’employer des mesures de sécurité laxistes, principalement autour du contrat multisig du contrat intelligent Polygon qui contrôle la clé d’administration du contrat intelligent Polygon. Cette clé, à son tour, contrôle plus de 5 milliards de dollars de fonds, selon Bons.

1/14) Polygon dans son état actuel n’est pas sécurisé et centralisé !

Il ne faudrait que 5 personnes pour compromettre plus de 5 milliards de dollars !

4 de ces personnes sont les fondateurs de Poly !

C’est l’un des plus grands piratages ou escroqueries à la sortie qui ne demandent qu’à se produire

Insouciant et irresponsable, un avertissement aux sages :

– Justin Bons (@Justin_Bons) 12 février 2022

« Polygon dans son état actuel n’est pas sécurisé et centralisé ! Il ne faudrait que cinq personnes pour compromettre plus de 5 milliards de dollars ! Quatre de ces personnes sont les fondateurs de Polygon ! C’est l’un des plus grands piratages ou escroqueries à la sortie qui ne demandent qu’à se produire », tweete Bons

« L’équipe Polygon peut prendre le contrôle complet de Polygon »

« La clé d’administration du contrat intelligent Polygon est contrôlée par un contrat multi-signatures cinq sur huit. Cela signifie que le polygone [team] peut prendre le contrôle complet de Polygon avec une seule des quatre parties extérieures conspirant. Les quatre autres parties du multisig ont également été sélectionnées par Polygon », poursuit Bons.

Selon Bons, cela signifie également que ces quatre autres partis « ne sont pas exactement impartiaux ». Le contrôle de la clé d’administration du contrat équivaut au pouvoir de modifier les règles. A partir de là, « tout devient possible ». Y compris la vidange de l’intégralité du contrat Polygon.

Certaines critiques sont également pointées sur le prétendu manque de transparence de JeuxServer. Ce n’est pas la première fois que l’opacité présumée de Polygon est sur la table. Chris Blec à DeFi Watch a précédemment envoyé un demande à l’équipe Polygon pour demander des éclaircissements. Selon Bons et Blec, Polygon n’a pas répondu à la demande de Blec.

Cependant, le Polygone L’équipe n’est pas du tout muette sur le sujet car des questions de ce type se sont déjà posées. L’équipe a déjà publié un rapport de transparence multisig pour clarifier la question. En réponse au tweet de Bons, Mihailo Bjelic, co-fondateur de Polygon, confirme indirectement les soucis de multisig alors que Polygon « travaille à les supprimer ». Le multisig a été mis en œuvre à une « phase précoce » et n’est apparemment pas une solution idéale à mesure que le système se développe.

1/9 L’utilisation des multisigs a été abordée à plusieurs reprises. Principalement pour le bien des nouveaux arrivants, couvrons à nouveau les points clés.

TL; DR : Les multisigs sont utilisés pour augmenter la sécurité, pas pour la diminuer. JeuxServer les utilise de manière responsable et nous nous efforçons de les supprimer. https://t.co/vSlSQUARmX

– Mihailo Bjelic (@MihailoBjelic) 14 février 2022

« Ils [multisigs] sont considérées comme l’approche optimale pour sécuriser les fonds des utilisateurs dans les premières phases de développement et sont utilisées par presque tous les projets de mise à l’échelle et de transition.

Bjelic souligne le rapport de transparence détaillant le « plan d’amélioration et éventuellement de suppression des multisigs ». Bjelic aborde ensuite certains des points du tweet de Bons.

« L’escroquerie à la sortie n’est pas une préoccupation réaliste pour JeuxServer »

Selon BjelicI, une arnaque à la sortie n’est pas une préoccupation réaliste pour Polygon ; les multisigs sont utilisés pour protéger les utilisateurs contre les piratages, et JeuxServer utilise le multisig comme il le fait parce qu’ils sont responsables, contrairement aux accusations.

Selon la critique de Bons, un multisig de cinq sur huit est « totalement insuffisant » pour protéger jusqu’à 5 milliards de dollars de fonds, et que quatre de ces huit multisigs ont été « donnés » à des tiers sélectionnés par JeuxServer. Pour Bons, cela peut constituer un risque de collusion.

Selon BjelicI, cependant, les parties extérieures sont « des projets Ethereum/Polygon réputés et n’ont pas été sélectionnés par Polygon, ils ont décidé de participer ».

« Plus il y a de signataires, plus il est difficile de les coordonner au cas où une réaction immédiate serait nécessaire. Nous essayons de trouver le bon équilibre ici; nous avons déjà plus de signataires que la plupart des autres projets de mise à l’échelle », répond BjelicI.

Voici ce que Polygon devrait faire

Dans ses tweets, Bons partage également quelques conseils avec l’équipe Polygon.

De l’avis de Bons, Polygon doit décentraliser sa propre gouvernance basée sur les détenteurs de jetons Matic. Actuellement, celle-ci est encore beaucoup trop centralisée suivant un modèle DPoS (Delegated Proof of Stake) avec un faible nombre de validateurs. Selon Les données de l’explorateur de blocs Polygon Plygonscan, seuls quatre validateurs ont extrait la majorité des blocs au cours des sept derniers jours.

Une fois que Polygon a décentralisé sa gouvernance. Ils devront transférer la clé d’administration du contrat intelligent aux détenteurs de jetons Matic, suggère Bons. Passer efficacement le contrôle au « Matic DAO ». Cela nécessiterait très probablement une migration vers un nouveau contrat Polygon Smart.

«Ce serait évidemment très difficile et coûteux à faire. Cependant, c’est le prix à payer pour ne pas bien faire les choses, pour commencer. C’est le prix à payer pour la décentralisation et la sécurité qui va avec. C’est ce que devrait être la crypto-monnaie », tweete Bons.

Dans sa réponse, BjelicI dit que la solution suggérée « est définitivement notre objectif, tel que décrit dans le rapport de transparence. Cependant, cela augmentera le temps de réaction en cas de bug, il sera donc implémenté et activé progressivement.

CryptoSlate a contacté Polygon pour des commentaires, mais n’a reçu aucune réponse au moment de la rédaction. Certaines des citations ont été modifiées pour plus de clarté.