分析：Polygon存在高度不安全和中心化隐患

撰写：Justin Bons

Polygon 仍然是高度不安全和中心化的。只需要 5 个人就可以影响超过 20 亿美元的资金，更糟的是，这 5 人中有 4 人是 Polygon 的创始人。这可能会是最大规模的黑客攻击之一，正等待着发生。

Polygon 的管理员密钥是由 8 个多重签名合约中的 5 个控制的。创始人控制着前 4 个，后面的 4 个由 Polygon 的各团体持有，这意味着他们缺乏公平性。只要有一个团体与创始人合谋，就可以获得控制权。

控制合约的管理密钥等于拥有改变规则的权力，到那时一切皆有可能。包括清空整个 Polygon，目前价值超过 20 亿美元。

更糟糕的是，就他们的操作安全性和创建多重签名合约的加密仪式而言，Polygon 已经完全不透明了。由于透明度对于至少建立对多重签名的信任是至关重要的，这算得上是很糟糕的事了。

在不透明的情况下，是否某些人已经控制了私钥，我们无从得知。

更匪夷所思的是，来自 DeFiWatch 的 ChrisBlec 在 2020 年 5 月 20 日正式要求他们披露信息，Polygon 团队居然拒绝回应，这种缺乏回应的情况本身就应该被视为一个巨大的危险信号。

ChrisBlec 直到今天仍在继续反对这种缺乏透明度的行为。2021 年 5 月 15 日，Polygon 确实发布了一份“透明度报告”。然而，这份报告其实只是对现状的一种辩护，该报告未涵盖运营安全的任何方面，或者是创建管理员密钥时的加密行为，只是进一步证明使用这种多重签名的合理性。

换句话说，这是对我和 ChrisBlec 的批评的一个完全不充分的回应。2022 年 1 月 19 日，Polygon 发布了他们的 "治理状况：去中心化"。

我知道这种做法在整个加密货币生态系统中已经非常普遍了。但我只想说 Polygon，因为它们是存在此问题的最大加密货币之一。

Polygon 有机会成为该领域的领导者，因为行业规范必须改变。Polygon 可以并且应该在那个方向上带头。我知道，在早期阶段，多重签名是最佳的选择，但是 20 亿美元的 TVL 意味着 Polygon 已经过了早期阶段。

在缺乏安全性的情况下，还拥有如此多的钱，聪明人一看就知道这是一场亟待发生的灾难。

这与创始人的素质无关，与我的其他一些批评不同，我确实尊重 Polygon 的创始人，我确实相信他们是好人，但这会使得这件事变得更加困难。

创始人们对自己有信心。引用 MihailoBjelic 的话："摆脱骗局对 Polygon 来说不算什么问题。”我知道，这是他的真心话，因为他可以相信自己，但其他人不可能知道他心里在想什么。我们不要单纯的相信，人们需要核实。

Polygon 责怪 ChrisBlec 没有提供替代方案，这不公平。虽然我将为 Polygon 提供一个明确的替代方案，这样就没有借口了。

首先，Polygon 必须在 Matic 代币持有人的基础上去中心化自己的治理权。目前，Polygon 的治理仍然过于中心化，遵循具有少量验证者的 DPoS 模型。幸运的是，Polygon 的“治理状态”已经奠定了解决这个问题的基础。一旦 Polygon 实现了它的去中心化治理模式：

创始人将不得不把智能合约管理密钥的权力交给 Matic 代币持有者，有效地将控制权移交给“Polygon DAO”。不过，这需要迁移到新的 Polygon 智能合约上，是一件非常困难且成本高昂的一件事情。

但这就是我们为一开始就没有做对事情而付出的代价，这是我们为去中心化和随之而来的安全所付出的代价，这就是加密货币的意义所在，假装安全和去中心化对这个领域来说是不够的。

为了使这一批评更具有建设性，我认为 ZEC 就可以作为一个广泛的例子，或者像 REP、UNI 和 AAVE 那样烧掉管理员密钥。DAO 应该控制管理员密钥，这样可以更安全地完成多重签名的操作。

这是一条清晰的救赎之路，Polygon 完全有机会以身作则，基础已经打好，Polygon 可以迈出下一步行动，拥抱更加去中心化的未来。