GON:分析:Polygon存在高度不安全和中心化隐患

撰写:JustinBons

Polygon仍然是高度不安全和中心化的。只需要5个人就可以影响超过20亿美元的资金,更糟的是,这5人中有4人是Polygon的创始人。这可能会是最大规模的黑客攻击之一,正等待着发生。

Polygon的管理员密钥是由8个多重签名合约中的5个控制的。创始人控制着前4个,后面的4个由Polygon的各团体持有,这意味着他们缺乏公平性。只要有一个团体与创始人合谋,就可以获得控制权。

控制合约的管理密钥等于拥有改变规则的权力,到那时一切皆有可能。包括清空整个Polygon,目前价值超过20亿美元。

Coinbase将上线Helium(HNT):7月11日消息,据官方消息,Coinbase将在Solana网络上添加对Helium(HNT)的支持。如果满足流动性条件,交易将于太平洋时间2023年7月12日上午9点或之后开始。一旦该资产供应充足,HNT-USD交易对上的交易将分阶段启动。[2023/7/12 10:49:11]

更糟糕的是,就他们的操作安全性和创建多重签名合约的加密仪式而言,Polygon已经完全不透明了。由于透明度对于至少建立对多重签名的信任是至关重要的,这算得上是很糟糕的事了。

Ooki DAO律师:监管机构应识别违反联邦法律的人,而不是DAO:10月18日消息,针对美国商品期货交易委员会(CFTC)对保证金交易借贷协议Ooki(原bZx)运营组织Ooki DAO的诉讼案,提供法律服务的组织LeXpunK Army表示,监管机构应该识别违反联邦法律的人,而不是作为一个实体的DAO,DAO不是人,不应该被视为人,通常是通过使用加密代币投票来管理活动的集体。此外LeXpunK Army还认为DAO是否是非法人协会应根据《商品交易法》的联邦法规进行解释,而不是根据各州的规定。[2022/10/18 17:30:44]

在不透明的情况下,是否某些人已经控制了私钥,我们无从得知。

安全团队:TransitSwap事件新增3个套利机器人及2个攻击模仿者,已知被盗损失总计超2800万美元:根据TransitSwap官方通告,BSC链新增4个获利地址,ETH链新增1个获利地址,新增被盗资金357万美元,共计获利地址8个,被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论,新增5个获利地址中有3个是套利机器人,而另外2个则是攻击模仿者。此前,慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件,对新增获利地址的资金转移与黑客画像进行分析。

截止到目前,在各方的共同努力下,攻击黑客已将超 8 成的被盗资产退还到 Transit Swap 项目方地址,建议套利机器人所属人和攻击模仿者同样通过 service@transit.finance 或链上地址与 Transit Swap 取得联系,共同将此次被盗事件的受害用户损失降低到最小。

攻击黑客获利地址(已归还资金占总被盗资金约 83.6%):

0x75F2...FFD46 获利金额:约 2410 万美元

0xfa71...90fb

套利机器人获利地址:

1: 0xcfb0...7ac7(BSC) 获利金额:1,166,882.07 BUSD

2: 0x0000...4922(BSC) 获利金额:246,757.31 USDT

3: 0xcc3d...ae7d(BSC) 获利金额:584,801.17 USDC

4. 0x6C6B...364e(ETH) 获利金额:5,974.52 UNI、1,667.36 MANA

攻击模仿者获利地址:

1: 0x87be...3c4c(BSC) 获利金额:356,690.71 USDT

2: 0x6e60...c5ea(BSC) 获利金额:2,348,967.9 USDT[2022/10/6 18:40:24]

更匪夷所思的是,来自DeFiWatch的ChrisBlec在2020年5月20日正式要求他们披露信息,Polygon团队居然拒绝回应,这种缺乏回应的情况本身就应该被视为一个巨大的危险信号。

Parallel Alpha系列NFT近24小时交易额增幅超4000%:金色财经报道,据OpenSea数据显示,Parallel Alpha系列NFT近24小时交易额为371ETH,24小时交易额增幅达4034%,24小时交易额排名位列OpenSea第三。[2022/9/12 13:23:23]

ChrisBlec直到今天仍在继续反对这种缺乏透明度的行为。2021年5月15日,Polygon确实发布了一份“透明度报告”。然而,这份报告其实只是对现状的一种辩护,该报告未涵盖运营安全的任何方面,或者是创建管理员密钥时的加密行为,只是进一步证明使用这种多重签名的合理性。

换句话说,这是对我和ChrisBlec的批评的一个完全不充分的回应。2022年1月19日,Polygon发布了他们的"治理状况:去中心化"。

我知道这种做法在整个加密货币生态系统中已经非常普遍了。但我只想说Polygon,因为它们是存在此问题的最大加密货币之一。

Polygon有机会成为该领域的领导者,因为行业规范必须改变。Polygon可以并且应该在那个方向上带头。我知道,在早期阶段,多重签名是最佳的选择,但是20亿美元的TVL意味着Polygon已经过了早期阶段。

在缺乏安全性的情况下,还拥有如此多的钱,聪明人一看就知道这是一场亟待发生的灾难。

这与创始人的素质无关,与我的其他一些批评不同,我确实尊重Polygon的创始人,我确实相信他们是好人,但这会使得这件事变得更加困难。

创始人们对自己有信心。引用MihailoBjelic的话:"摆脱局对Polygon来说不算什么问题。”我知道,这是他的真心话,因为他可以相信自己,但其他人不可能知道他心里在想什么。我们不要单纯的相信,人们需要核实。

Polygon责怪ChrisBlec没有提供替代方案,这不公平。虽然我将为Polygon提供一个明确的替代方案,这样就没有借口了。

首先,Polygon必须在Matic代币持有人的基础上去中心化自己的治理权。目前,Polygon的治理仍然过于中心化,遵循具有少量验证者的DPoS模型。幸运的是,Polygon的“治理状态”已经奠定了解决这个问题的基础。一旦Polygon实现了它的去中心化治理模式:

创始人将不得不把智能合约管理密钥的权力交给Matic代币持有者,有效地将控制权移交给“PolygonDAO”。不过,这需要迁移到新的Polygon智能合约上,是一件非常困难且成本高昂的一件事情。

但这就是我们为一开始就没有做对事情而付出的代价,这是我们为去中心化和随之而来的安全所付出的代价,这就是加密货币的意义所在,假装安全和去中心化对这个领域来说是不够的。

为了使这一批评更具有建设性,我认为ZEC就可以作为一个广泛的例子,或者像REP、UNI和AAVE那样烧掉管理员密钥。DAO应该控制管理员密钥,这样可以更安全地完成多重签名的操作。

这是一条清晰的救赎之路,Polygon完全有机会以身作则,基础已经打好,Polygon可以迈出下一步行动,拥抱更加去中心化的未来。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:87ms