Polygon – Wie sicher ist die Währung?

Polygon ist aktuell die 15. größte Kryptowährung der Welt, mit einer Marktkapitalisierung von mehr als 8 Milliarden. Allerdings ist der Coin immer noch sehr zentralisiert und damit unsicher. Aktuell ist es der Fall, dass es nur das Einverständnis von 5 Personen braucht, um über ein Kapital von 2 Milliarden zu entscheiden. Somit könnte dies einer der größten Hacks der Geschichte werden, der nur darauf wartet zu geschehen. In diesem Beitrag gehen wir auf die Sicherheitsbedenken ein, die aktuell mit Polygon einhergehen und ob ein Exit-Scam möglich wäre.

Wer entscheidet über Veränderungen im Protokoll?

Die Veränderungen im Protokoll werden momentan über einen 5 von 8 Mulit-Sig-Vertrag gesteuert. Das heißt, es gibt 8 Menschen/Parteien, die über einen Key verfügen. Sollten 5 dieser 8 Parteien eine gemeinsame Entscheidung treffen, wird diese angewandt. Besonders problematisch ist, dass die Gründer 4 Keys besitzen. Die anderen 4 Keys sind auf Parteien aufgeteilt, die von Polygon ausgewählt wurden.

Damit ist die Unparteilichkeit dieser Personen keinesfalls gegeben. Des Weiteren bräuchte es nur die Zustimmung einer Partei, die sich mit den Gründern verbündet hat, um die Kontrolle zu erlangen. Kontrolliert man den Vertragsadministratorschlüssel, entspricht das der Befugnis, die Regeln des Protokolls zu ändern. An diesem Punkt wäre alles möglich.

Was könnte passieren, wenn jemand die Kontrolle erlangen würde?

Grundsätzlich lässt sich sagen, dass nun alles möglich ist. Sowohl kleine technische Änderungen, als auch große Eingriffe ins Protokoll, wie z.B. die Entleerung des gesamten Polygon-Vertrags, der derzeit über 2 Milliarden US-Dollar beinhaltet. Alternativ wäre aber auch die Zensur von Transaktionen aufgrund von regulatorischem Druck möglich.

Das bedeutet, dass die Eingriffe auf jeden Fall ein großes Risiko darstellen. Keiner kann aktuell vorhersagen, was passiert, sollte eines der Szenarien eintreffen. Theoretisch wäre es möglich, dass wir entweder einen der größten Hacks der Geschichte erleben werden oder vielleicht sogar ein Exit-Scam vollzogen wird.

Transparenz des Multi-Sig-Vertrag von Polygon undurchsichtig

Normalerweise würde man annehmen, dass der Multi-Sig-Vertrag von Polygon hohen Sicherheitsstandards aufgrund der deutlichen Gefahren innehat. Dies ist allerdings nicht der Fall. So erhält man als Nutzer keinen Einblick, ob nicht schon eine einzelne Person den Admin-Schlüssel kontrolliert.

Somit gibt es keine ordnungsgemäße Offenlegung über den Admin-Key. Dadurch setzt man sich als Benutzer immer der Gefahr aus, dass der Vertrag geändert wird. Letztendlich bleibt einem so nichts anderes übrig, als den Gründern von Polygon zu vertrauen.

Statement der Polygongründern zu den Vorwürfen

Da die Sicherheitsbedenken schon länger kursieren, äußerten sich die Gründer neulich in einem veröffentlichten Paper dazu. Unter dem Namen “transparency report” möchten sie die aktuelle Lage von Polygon verteidigen. Allerdings räumte das Paper die Kritik keinesfalls aus der Welt, sondern wirft noch mehr Fragen auf.

So verteidigte man lediglich in dem Bericht den Status Quo von Polygon. Des Weiteren rechtfertigte man die Verwendung des Multi-Sig als sicher. Somit sind keine Aspekte zu der Betriebssicherheit behandelt worden. Zudem wurde nicht auf die Notwendigkeit eingegangen, den Vertrag zu verändern, um das Risiko, das der Admin-Schlüssel aktuell darstellt, zu mindern.

Zu der Abschaffung des Multi-Sig-Vertrags ist lediglich eine Zeile zu finden: “Aktuell prüft man den Übergang von Multi-Sigs zu Governance-kontrollierten Proxys.”

Dieser Satz kann auf viele Arten interpretiert werden. Wollen die Gründer eine zentrale Steuerung? Ist es das Ziel, verschachtelte DAOs zu schaffen? Oder ist damit etwas anderes gemeint. Somit lässt sich sagen, dass die Formulierung sehr vage ist. Besorgniserregend ist ebenfalls, dass man nur daran forscht, den Multi-Sig-Vertrag zu ändern. Viel mehr sollte es sich hierbei um eine grundsätzliche Verpflichtung handeln, wenn man die Währung sicherer machen möchte.

Wie könnte ein Exit-Scam bei Polygon aussehen?

Hierzu äußert sich einer der Gründer folgendermaßen: “Ein Exit-Scam ist kein realistisches Anliegen für Polygon.” Allerdings basiert diese Aussage nur auf das Vertrauen auf die Gründer. Pauschal lässt sich sagen, dass umso mehr Kapital im Vertag gespeichert wird, desto wahrscheinlicher wird ein Exit-Scam.

Hierfür gibt es mehrere Möglichkeiten. Die Einfachste wäre natürlich, dass die Gründer einen Exit-Scam durchführen. Dies könnte relativ einfach mit anderen Betrügern gerechtfertigt werden. In der Krypto-Branche herrschen leider niedrige Standards im gesamten Ökosystem. So sind Exit-Scams oder Hacks keine Seltenheit und in den letzten Monaten schon zur gängigen Praxis geworden.

Eine weitere Möglichkeit könnte sein, dass die Polygonerfinder zu Zielen werden. Da sie angreifbare Zentralisierungspunkte für das Netzwerk darstellen, werden sie mit der immer größeren gespeicherten Geldmenge im Vertrag, ein angreifbares Ziel für andere Verbrecher. So könnten organisierte Verbrecher die Personen ins Visier nehmen und möglicherweise durch Entführung und Erpressung zu der Freigabe des Geldbetrags zwingen.

Allein diese beiden Beispiele zeigen, dass ein 5 von 8 Multi-Sig-Vertrag für einen Geldwert von mehr als 2 Milliarden Dollar unzureichend ist. Man kann sogar die Entscheidung treffen, dass dieses Vorgehen grob fahrlässig ist und es nur eine Frage der Zeit ist, bis ein größerer Hack geschieht.

Fazit – Ist Polygon sicher?

Als Fazit kann man sagen, dass Polygon aktuell erhebliche Schwachstellen besitzt. Die Gefahr eines Hacks oder eines Exit-Scams ist durchaus gegeben. Deswegen ist es von höchster Priorität, dass die Gründer und Entwickler eine Lösung für die Probleme finden. Aktuell stellt Polygon somit ein durchaus risikoreiches Investment dar, denn trotz der hohen Marktkapitalisierung ist es schwer zu beurteilen, ob ein Exit-Scam vollzogen wird.

Hierbei ist nicht einmal die Tatsache wichtig, ob ein Exit-Scam bei Polygon stattfindet, sondern dass es überhaupt so einfach möglich ist. Folglich kann man sagen, dass es äußerst fahrlässig ist, eine Kapitalmenge von mehr als 2 Milliarden mit solchen Sicherheitsstandards zu sichern.

Will man die aktuelle Lage von Polygon mit einer Metapher beschreiben, könnte man Folgendes sagen: Polygon ist eine Bombe. Die Zündschnur ist der Multi-Sig-Vertrag. Der Funke, welche die Zündschnur auslöst, ist in diesem Fall die potenziell mögliche Kontrolle über den Admin-Key. Sollte dies jemand erlangen, brennt die Zündschnur ab und die Polygonbombe explodiert. Man kann also nur hoffen, dass ein solches Szenario nicht passieren wird und die aktuellen Gefahren aus der Welt geschafft werden.

   

Source