加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 火幣APP > Info

分析:Polygon存在高度不安全和中心化隱患_GON:POLYPAD

Author:

Time:1900/1/1 0:00:00

撰寫:Justin Bons

Polygon 仍然是高度不安全和中心化的。只需要 5 個人就可以影響超過 20 億美元的資金,更糟的是,這 5 人中有 4 人是 Polygon 的創始人。這可能會是最大規模的黑客攻擊之一,正等待著發生。

Polygon 的管理員密鑰是由 8 個多重簽名合約中的 5 個控制的。創始人控制著前 4 個,后面的 4 個由 Polygon 的各團體持有,這意味著他們缺乏公平性。只要有一個團體與創始人合謀,就可以獲得控制權。

控制合約的管理密鑰等于擁有改變規則的權力,到那時一切皆有可能。包括清空整個 Polygon,目前價值超過 20 億美元。

分析:BTC.com的被盜資產大部分已轉入Tornodo Cash:1月3日消息,X-explore推特發文稱,鏈上分析顯示,BTC.com 被盜資產為 32.5 BTC 和 1964 ETH。大部分轉入Tornodo Cash,部分轉入CEX交易所Binance和Kucoin。

此前報道,BIT Mining子公司BTC.com于12月初遭到網絡攻擊,損失約300萬美元。[2023/1/3 9:50:06]

更糟糕的是,就他們的操作安全性和創建多重簽名合約的加密儀式而言,Polygon 已經完全不透明了。由于透明度對于至少建立對多重簽名的信任是至關重要的,這算得上是很糟糕的事了。

分析:59250與58200可視作短線支撐,放量上漲前需謹慎入場:據歐易OKEx投研分析,本周末,BTC反彈再次受阻于61000,但回踩受58200支撐意味著現貨成本正逐步被拉高。然而BTC正處于下方穩固但上漲缺量的境地,因此短期做合約波段交易風險較高,交易現貨則較穩妥。從盤面看,走勢近期仍難走出趨勢,隨著數次測試60000大關成交量都處于縮減形態,看漲動能始終未能充盈,盡管借著這段時期的利好消息,走勢數次嘗試上破高位盤整區,但顯然短線的利好不足以掩蓋熱情消退的事實。本周若再次縮量測試60000上方阻力失敗,則有一定概率走出小時級別雙頂形態,投資者屆時需關注59250及58200兩個小級別支撐,不破則漲勢可期,跌破則向下看至55500前低。

ETH創新高后保持強勢,短線支撐位于2130附近,跌破則下看至2085,不破則繼續看漲。DOT近期進入中位盤整,站穩43前恐持續震蕩行情,關注40.6及40附近支撐,41.9和42.8兩個阻力位。UNI在站穩32.5后可直接看至歷史高點,在此之前可先關注31.4支撐有效性。

根據國際第三方統計機構CoinGecko數據顯示,歐易OKEx平臺24小時合約交易額176億美元。[2021/4/12 20:10:50]

在不透明的情況下,是否某些人已經控制了私鑰,我們無從得知。

動態 | 研究分析:36%的美國中小企業接受加密貨幣支付其產品和服務:據Crypto Globe消息,一項新的調查發現,36%的美國中小企業接受加密貨幣支付其產品和服務,59%的受訪企業購買加密貨幣供自己使用。這項調查由分析公司Zogby Analytics進行,受檢驗和保險公司Hartford Steam Boiler(HSB)委托,共調查了美國505家收入不足500萬美元、員工不足100人的中小企業。研究發現,人們對加密貨幣的興趣在某種程度上是廣泛的,而不僅僅是年輕一代。Zogby Analytics將受訪者分為兩組,發現近一半運營5年或以下的企業接受加密貨幣,而運營20年或以上的企業似乎更持懷疑態度,因為只有21%的企業接受加密貨幣。[2020/1/18]

更匪夷所思的是,來自 DeFiWatch 的 ChrisBlec 在 2020 年 5 月 20 日正式要求他們披露信息,Polygon 團隊居然拒絕回應,這種缺乏回應的情況本身就應該被視為一個巨大的危險信號。

分析 | EIDOS挖礦攻擊分析: 黑客利用EOS系統帳號無限CPU功能惡意挖礦:今日凌晨02:53開始,PeckShield安全盾風控平臺DAppShield監測到黑客向短帳號競拍系統合約發起連續攻擊,利用系統返回之前出價的操作進行惡意挖礦EIDOS,目前攻擊仍在持續進行中。PeckShield安全人員分析發現,多名黑客帳號lklk11111111、learneosgood、juyhgdf1234u、 maymaymay111利用EOS系統短帳號競拍的規則,競價一些無人競拍的短帳號,從 0.0001 EOS 開始出價,然后在系統帳號退回之前以較低的出價進行轉賬通知挖礦。由于黑客發起競價的交易消耗CPU較少,而系統帳號擁有無限制的CPU資源,使得惡意帳號可以無限“偷取”系統的CPU進行挖礦。PeckShield在此提醒,EIDOS惡意挖礦攻擊已經從DApp、交易所逐漸向EOS系統合約遷移,會進一步加劇EOS網絡的擁堵情況,廣大DApp開發者及交易所,應隨時關注帳號CPU市場的變化,確保必要的操作可以執行。[2019/11/11]

ChrisBlec 直到今天仍在繼續反對這種缺乏透明度的行為。2021 年 5 月 15 日,Polygon 確實發布了一份“透明度報告”。然而,這份報告其實只是對現狀的一種辯護,該報告未涵蓋運營安全的任何方面,或者是創建管理員密鑰時的加密行為,只是進一步證明使用這種多重簽名的合理性。

換句話說,這是對我和 ChrisBlec 的批評的一個完全不充分的回應。2022 年 1 月 19 日,Polygon 發布了他們的 "治理狀況:去中心化"。

我知道這種做法在整個加密貨幣生態系統中已經非常普遍了。但我只想說 Polygon,因為它們是存在此問題的最大加密貨幣之一。

Polygon 有機會成為該領域的領導者,因為行業規范必須改變。Polygon 可以并且應該在那個方向上帶頭。我知道,在早期階段,多重簽名是最佳的選擇,但是 20 億美元的 TVL 意味著 Polygon 已經過了早期階段。

在缺乏安全性的情況下,還擁有如此多的錢,聰明人一看就知道這是一場亟待發生的災難。

這與創始人的素質無關,與我的其他一些批評不同,我確實尊重 Polygon 的創始人,我確實相信他們是好人,但這會使得這件事變得更加困難。

創始人們對自己有信心。引用 MihailoBjelic 的話:"擺脫騙局對 Polygon 來說不算什么問題。”我知道,這是他的真心話,因為他可以相信自己,但其他人不可能知道他心里在想什么。我們不要單純的相信,人們需要核實。

Polygon 責怪 ChrisBlec 沒有提供替代方案,這不公平。雖然我將為 Polygon 提供一個明確的替代方案,這樣就沒有借口了。

首先,Polygon 必須在 Matic 代幣持有人的基礎上去中心化自己的治理權。目前,Polygon 的治理仍然過于中心化,遵循具有少量驗證者的 DPoS 模型。幸運的是,Polygon 的“治理狀態”已經奠定了解決這個問題的基礎。一旦 Polygon 實現了它的去中心化治理模式:

創始人將不得不把智能合約管理密鑰的權力交給 Matic 代幣持有者,有效地將控制權移交給“Polygon DAO”。不過,這需要遷移到新的 Polygon 智能合約上,是一件非常困難且成本高昂的一件事情。

但這就是我們為一開始就沒有做對事情而付出的代價,這是我們為去中心化和隨之而來的安全所付出的代價,這就是加密貨幣的意義所在,假裝安全和去中心化對這個領域來說是不夠的。

為了使這一批評更具有建設性,我認為 ZEC 就可以作為一個廣泛的例子,或者像 REP、UNI 和 AAVE 那樣燒掉管理員密鑰。DAO 應該控制管理員密鑰,這樣可以更安全地完成多重簽名的操作。

這是一條清晰的救贖之路,Polygon 完全有機會以身作則,基礎已經打好,Polygon 可以邁出下一步行動,擁抱更加去中心化的未來。

深潮TechFlow

個人專欄

閱讀更多

金色早8點

Bress

PANews

鏈捕手

財經法學

成都鏈安

Odaily星球日報

區塊律動BlockBeats

Tags:GONPOLLYGPOLYDragon Warriorpolygon幣圈polygon幣價格POLYPAD

火幣APP
合并后的ETH2.0 還需要Layer2來擴容嗎?_LAYER:ROLL

ETH2.0和Layer2是什么關系?Layer2的未來如何發展? 原文作者:Daniel Li轉自:《一文讀懂Layer2和ETH2.

1900/1/1 0:00:00
金色觀察|BitMex:OFAC 制裁VS以太坊 PoS 技術上的細微差別_ASF:MEV

摘要 在這篇文章中,討論了在美國財政部外國資產控制辦公室(OFAC)最近決定批準以太坊上的 Tornado Cash 合約的背景下,合并后以太坊的審查阻力程度.

1900/1/1 0:00:00
從傳統網絡安全視角 區塊鏈安全有何不同?_區塊鏈:區塊鏈游戲

原文標題:《區塊鏈安全和傳統安全有什么不同》 撰文:衛劍釩 說起傳統安全,很多朋友都比較熟悉,基本而言,就是針對漏洞(管理、技術、人性)的攻擊,和針對攻擊的防護.

1900/1/1 0:00:00
想了解 Optimism 看這篇文章就夠了_PTI:timi幣官方網站

什么是 Rollup? Optimism 的發展簡史Optimism 如何對以太坊進行擴展Optimism Collection 對未來的展望 更多關于 Optimism 的資源 在鐵子們了解.

1900/1/1 0:00:00
金色觀察|NFT是真還是假?Optic幫你驗證_TIC:optimus幣最新消息

文/Paul Veradittakit,Pantera Capital合伙人Optic正在構建一個人工智能NFT驗證協議,以提供欺詐相關NFT分析和社區NFT發現.

1900/1/1 0:00:00
Galaxy Digital 研報:深度剖析 NFT 許可、知識產權 事實還是虛構_NFT:Yfilabs Finance

NFT 持有者的知識產權問題可能是“未來虛擬世界的一個巨大問題”。當你購買 NFT 時,你買的是什么?大多數人將購買 NFT 稱為“購買 jpeg”,即您在虛擬形象和 OpenSea 等市場中在.

1900/1/1 0:00:00
ads