¿Es seguro el polígono? Críticas: Multisig no es lo suficientemente seguro, los 5.000 millones de dólares están en peligro

Polygon is perhaps the most popular alternative to transacting directly on the Ethereum baselayer (L1), giving users the opportunity to do fast transactions with low fees. Polygon ( MATIC ) es más conocido como una cadena lateral de Ethereum, es decir, una cadena de bloques compatible con la máquina virtual de Ethereum (EVM) que ejecuta su propio conjunto de nodos validadores. Sin embargo, el equipo de Polygon también ha invested fuertemente en la tecnología de capa 2 pura, y proporciona servicios como la solución de escalado Miden basada en zk-STARKs.

Por supuesto, con el éxito viene la responsabilidad de salvaguardar todos los fondos que los usuarios están vertiendo en la red. En un hilo de tweets, Justin Bons, fundador y CIO de Cibercapital Bons acusa al equipo de Polygon de emplear medidas de seguridad poco estrictas, principalmente en torno al contrato inteligente Polygon, que controla la clave de administración del contrato inteligente Polygon. Esta clave, a su vez, controla más de 5.000 millones de dólares de fondos, según Bons.

«¡Polígono en su estado actual es inseguro y centralizado! ¡Sólo harían falta cinco personas para comprometer más de 5.000 millones de dólares! ¡Cuatro de esas personas son los fundadores de Polygon! Este es uno de los mayores hacks o estafas de salida a la espera de suceder», tuiteó Bons

«El equipo de Polygon puede obtener el control total de Polygon»

«La clave de administración del contrato inteligente de Polygon está controlada por un contrato de cinco de ocho firmas múltiples. Esto significa que el [equipo] de Polygon puede obtener el control total de Polygon con sólo una de las cuatro partes externas que conspiran. Las otras cuatro partes en el contrato múltiple también fueron seleccionadas por Polygon», continúa Bons.

Según Bons, esto también significa que estas otras cuatro partes «no son precisamente imparciales». El control sobre la clave del contrato equivale al poder de cambiar las reglas. En ese punto «todo es posible». Incluyendo el vaciado de todo el contrato de Polygon.

También se critica la supuesta falta de transparencia de Polygon. No es la primera vez que se pone sobre la mesa la supuesta opacidad de Polygon. Chris Blec en DeFi Watch envió previamente un solicitar al equipo de Polygon pidiendo claridad. Según Bons y Blec, Polygon no respondió a la petición de Blec.

Sin embargo, el Polígono El equipo no guarda silencio sobre el asunto, pues ya se han planteado cuestiones de este tipo. El equipo ya ha publicado un informe de transparencia sobre multisig para aclarar el asunto. En una respuesta al tuit de Bons, Mihailo Bjelic, cofundador de Polygon, confirma indirectamente las preocupaciones sobre el multisig ya que Polygon está «trabajando para eliminarlo». El multisig se implementó en una «fase temprana» y aparentemente no es una solución ideal a medida que el sistema crece.

«Se considera que [los multisigs] son el enfoque óptimo para asegurar los fondos de los usuarios en las primeras fases de desarrollo y son utilizados por casi todos los proyectos de escala y puente».

Bjelic señala el informe de transparencia en el que se detalla el «plan para mejorar y eventualmente eliminar los multisigs». A continuación, Bjelic aborda algunos de los puntos del tuit de Bons.

«La estafa de la salida no es una preocupación realista para Polygon»

Según BjelicI, una estafa de salida no es una preocupación realista para Polygon; las multisigs se utilizan para proteger a los usuarios de los hackeos, y Polygon está utilizando la multisig de la forma en que lo hace porque están siendo responsables, en contra de las acusaciones.

Según la crítica de Bons, un multisig de cinco de ocho es «totalmente insuficiente» para proteger hasta 5.000 millones de dólares de fondos, y que cuatro de esos ocho multisig fueron «regalados» a partes externas seleccionadas por Polygon. Para Bons, esto puede constituir un riesgo de colusión.

Sin embargo, según BjelicI, las partes externas son «proyectos reputados de Ethereum/Polygon y no fueron seleccionadas por Polygon, sino que decidieron participar.»

“The more signers, the harder it is to coordinate them in case an immediate reaction is required. We are trying to find the right balance here; we already have more signers than most of the other scaling projects,” BjelicI replies.

Esto es lo que debería hacer Polygon

En sus tweets, Bons también comparte algunos consejos con el equipo de Polygon.

En opinión de Bons, Polygon tiene que descentralizar su propia gobernanza basada en los titulares del token Matic. En la actualidad, está todavía demasiado centralizado siguiendo un modelo DPoS (Delegated Proof of Stake) con un bajo número de validadores. Según datos del explorador de bloques de Polygon, Plygonscan, sólo cuatro validadores minaron la mayoría de los bloques en los últimos siete días.

Una vez que Polygon haya descentralizado su gobierno. Tendrán que transferir la clave de administración del contrato inteligente a los titulares del token Matic, sugiere Bons. De hecho, el control se transfiere a la «DAO de Matic». Esto probablemente requerirá una migración a un nuevo contrato inteligente de Polygon.

«Obviamente, esto sería muy difícil y costoso de hacer. Sin embargo, ese es el precio que hay que pagar por no hacer las cosas bien, para empezar. Es el precio que pagamos por la descentralización y la seguridad que conlleva. Esto es lo que debería ser la criptomoneda», tuiteó Bons.

En su respuesta, BjelicI dice que la solución sugerida «es definitivamente nuestro objetivo, como se describe en el informe de transparencia. Sin embargo, esto aumentará el tiempo de reacción en caso de error, por lo que se implementará y activará gradualmente.»

CryptoSlate se ha puesto en contacto con Polygon para obtener comentarios, pero no ha recibido respuestas en el momento de escribir este artículo. Algunas de las citas han sido editadas para mayor claridad.

Artículos relacionados

ÚLTIMOS ARTÍCULOS