# 「OG 观点 」Polygon 高度不安全和中心化，存在被攻击的风险

By [BTX ｜ Research](https://paragraph.com/@btx-research) · 2022-08-16

---

原文作者：[@Justin\_Bons](https://twitter.com/Justin_Bons)

编译：BTX Capital

> Cyber Capital 首席信息官 Justin Bons 认为 Polygon 目前仍然高度不安全和过于中心化。由创始人控制 8 个管理员密钥中的 4 个是不安全的，而其余的 4 个密钥的持有者的选择也缺乏公正性。Polygon 目前严重缺乏透明度，并且由于其庞大的锁仓量，遭到黑客攻击的可能性也在逐渐增大。Polygon 必须将控制权移交给 “Polygon DAO”，走向更加去中心化的未来。

Polygon 仍然高度不安全和过于中心化，只需 5 个人就可以对价值超过 20 亿的资金造成威胁。雪上加霜的是，这 5 人中有 4 人是 Polygon 的创始人。 这可能是即将发生的的最大的黑客攻击之一。鲁莽且不负责任，本文是对智者的警告：

Polygon 管理员密钥由 8 个多签合约中的 5 个控制，其中创始人控制前 4 个密钥。而其余的 4 个密钥则由 Polygon 选择的各方持有，这意味着它们缺乏公正性。如果他们选择与创始人合谋，那么他们就能获得控制权！

对合约管理密钥的控制就等于获得了改变规则的权力，到那时一切皆有可能。甚至包括清空当前价值超过 20亿的整个 Polygon 合约。或者由于监管压力而审查交易。

更糟糕的是，就他们的操作安全性和创建多重签名合约的加密仪式而言，Polygon 已经完全不透明。透明度对于建立对多重签名的信任至关重要。

没有了这些保证，一个人控制管理员密钥就是有可能的。使用管理员密钥应该需要非常高的安全标准。而 Polygon 对此没有适当的披露。更糟的是， DeFi Watch 的 Chris Blec 于 2020 年 5 月 20 日 正式要求披露，而 Polygon 团队居然拒绝回应。

这种缺乏回应本身就应该被视为一个巨大的危险信号，**透明度在过去和现在都严重缺乏**。Chris Blec 直到今天仍在继续反对这种缺乏透明度的行为。

2021 年 5 月 15 日，Polygon 确实发布了一份“透明度报告”。然而，这份报告其实只是对现状的一种辩护，只会进一步证明使用此多重签名的合理性。该报告未涵盖运营安全的任何方面，或者用于创建管理员密钥的加密习惯。尽管如此，面对批评时，它还是被用来辩护。它也没有提及迁移合约以减轻管理员密钥风险的需求。

因为如果最初的设置有缺陷，或者不可能完全披露。管理员密钥不能只是转移；它将不得不重新创建，这增加了很大的摩擦 整个报告中只有一行提及了这种迁移：

“我们将探索引入......从多重签名到治理控制的代理” 这可以用许多不同的方式来解释。中央控制？嵌套 DAO？行动纲领？联合？ 它太模糊了，甚至不代表承诺，只是一种“探索”。换句话说，这是对我自己以及 Chris Blec 的批评的完全不充分的回应。尽管如此，它还是经常被提出来反驳这种对他们缺乏透明度的批评。

2022 年 1 月 19 日，Polygon 发布了他们的“治理状态：去中心化”。文章的作者（Mateusz Rzeszowski）给我留下了深刻的印象，这是一个对治理有深刻理解的人写的一篇漂亮的文章。但不幸的是，它根本没有讨论多重签名。它确实为 Polygon DAO 奠定了基础，我稍后会介绍。

我知道这种做法在整个加密货币生态系统中已经太普遍了，但这并不能证明它就不是错误的、鲁莽的和不负责任的。 我专注于 Polygon，因为它们是存在此问题的最大加密货币之一，Polygon 有机会成为该领域的领导者。因为行业规范必须改变，Polygon 可以并且应该在那个方向上引领潮流。 我确实明白多重签名在早期可能是最佳的，但是 20 亿的 TVL 意味着 Polygon 已经过了早期阶段。如此多的 TVL 和如此少的安全性就像是在等待灾难的发生。 这与创始人的素质无关。与我的其他一些批评不同，我确实尊重 Polygon 的创始人，并真诚地相信他们极有可能是好人。 但这使事情变得更加困难：创始人对自己有信心。这里引用 Polygon 联合创始人 Mihailo Bjelic 的一句话：“退出骗局对 Polygon 来说不是一个现实的问题”。

我知道这在他心中可能是真的，因为他可以相信自己，但其他人是无法知道他的想法的。我们需要的不是相信，而是核实！

Polygon 退出骗局的能力实际上让真正的骗子做同样的事情更正当化。这就是我们生态系统中低标准的连锁反应。 当他们成为人们集中关注的目标时，他们也将自己置于危险之中！\*\*锁定的价值越高，潜在攻击的动机和复杂程度就越高。\*\*有组织的犯罪可能以这些人为目标，甚至可能通过绑架和勒索！ 4 位创始人如果在线下见面甚至可能会导致意外损失！这里的重点是，8 个多重签名中的 5 个对于20亿来说是严重不足的！ 我可以继续提供发生损失的例子，但我认为我已经表达了我的观点。我确实希望 Polygon 为了他们自己和投资者的利益而听从我的警告。

Polygon 批评 Chris Blec 没有提供替代方案，这是不公平的。当然我会为 Polygon 提供一个明确的替代方案，这样他们就没有任何借口：

首先，**Polygon 必须基于 Matic 代币持有者来对自己的治理进行去中心化**。而目前，Polygon 治理仍然过于集中。其次，应该遵循具有少量验证者的 DPoS 模型。 幸运的是，解决这个问题的基础已经在 Polygon 的“治理状态”中奠定了 一旦 Polygon 去中心化了它的治理：创始人将不得不交出智能合约管理密钥的权力；对于 Matic 代币持有者，实际上相当于将控制权移交给“Polygon DAO”。

这将需要迁移到新的 Polygon 智能合约，这非常困难且成本高昂。但这就是我们一开始就没有做正确的事情所付出的代价。这就是加密货币应该的样子。假装具有安全性和去中心化是不够的的。

为了使其成为更具建设性的批评；我将把 ZEC 加密仪式作为一个广泛的例子。或者像 REP、UNI 和 AAVE 那样燃烧掉管理员密钥。 DAO 应该控制管理员密钥，但如果需要多重签名，则可以更安全地完成。

这里有一条清晰的救赎之路，对问题的简单确认和解决问题的承诺很重要。 基础已经打好，Polygon 有机会以身作则，迈出下一步，走向更加去中心化的未来。

原文链接：[https://twitter.com/Justin\_Bons/status/1559218289208971267](https://twitter.com/Justin_Bons/status/1559218289208971267)

关于 BTX Capital
==============

**Website:** [https://btx.capital](https://btx.capital/)

**Twitter:** [https://twitter.com/BTX\_Capital](https://twitter.com/BTX_Capital)

**Medium:** [https://medium.com/@btxcapital](https://medium.com/@btxcapital)

**Telegram:** [https://t.me/btxcap\_research](https://t.me/btxcap_research)

---

*Originally published on [BTX ｜ Research](https://paragraph.com/@btx-research/og-polygon)*