Криптосетевая безопасность. Или про то как не потерять средства во множестве DeFi сетей.

Это статья не просто о безопасности, она скорее про выживание в мире DeFi. В котором выживают далеко не все, особенно если ты любознательный и любишь изучать всё новое.

Таких полезных статей будет две. Эта и ещё более полезная следующая. Которую я напишу на днях.

Сегодня я как не в чём не бывало работал в DeFi с диапазонами, искал в очередной раз "золотой грааль" или свой "каменный цветок", который всё ни как не выходит у меня, сколько бы я не старался.

А мне всего нужно 1000$ в день и собственно вот этот цветок и будет.

"Ну что, Данила-мастер, не выходит у тебя каменный цветок?"

И скромно заработанные 80$ за прошлые дни, перевёл я в сеть полигон (бывш. polygon-matic), это достаточно старая но известная сеть, с которой работают топовые проекты, вроде AAVE, Uniswap, Fluid, Circle, Tether и т.д., т.е. ну сложно ждать подвоха в той сети с которой работают буквально лишь все.

Более того у меня мало того, что у самого в этой сети лежат скромные накопления на очередной платёж за Дубай. И лежал он на криптолендинговом сервисе Fluid где начисляли почти 10% годовых, а т.к. я плачу раз в 2 месяца, то скромные 20-50$ есть шанс дополнительно насобирать с заранее приготовленного платежа.

Так, вот когда перевёл туда эти 80$, кошелёчек Rabby wallet, который обычно перед транзакцией выдаёт симуляцию, т.е. точную информацию о том, что будет происходить после нажатия кнопки "подтвердить", выдал "не возможно симулировать". Естественно я не придал этому значение и отправил эти копейки складировать к другим копейкам, а как известно копейка - рубль бережёт.

Потом ещё поработал часа 3 и решил проверить средства инвесторов, у одного как раз ВСЕ деньги лежали в сети полигон. Я собрал ему награды в токенах POL, отсвапал в usdc, заложил их внутрь и тоже увидел, что нет симуляции и опять не придал этому значение.

Дальше я проверил следующего инвестора и увидел, что моя мини схема с доп. доходом от стеблкоина перестала работать, не понятно почему, но зачем вдаваться в подробности и я так махом фиганул 20250 чужих $ через мост across.to в сеть Polygon, симуляции тоже не появилось, но я не придал этому значение, всё же работает, транзакции ходят, значит всё ок.

А потом смотрю на кошелёчек, а он не отображает поступление этих 20К, и ещё у него и не оказалось токенов POL, чтобы дальше работать, ну я со своего кошелька щедро решил 0,5$ закинуть, и очень удивился, когда мне кошелёк не дал отправить транзакцию в сети полигон воообще.

Тут сразу флэшбэки, Luna chain, Fantom chain, ищу новости - а в новостях:

rbc.ru: Утром 10 сентября в основной сети Linea случился сбой и перестали производится новые блоки. В блокчейне Polygon также возникли проблемы, сбой продолжался около трёх часов. Официальных сообщений от команды Polygon не было, но некоторые криптосервисы предупредили клиентов о приостановке ончейн-транзакций в этой сети.

forklog.com: Представители Polygon Foundation подчеркнули, что сеть не переставала обрабатывать блоки. Замедлился процесс подтверждения окончательности транзакций — на 10–15 минут. Разработчики уже устранили баг и начали обновлять программное обеспечение валидаторов, отметили в фонде

binance.com: Polygon сталкивается с временной задержкой в окончательном согласовании, вызванной ошибкой, влияющей на узлы Bor и Erigon. Эта проблема нарушила работу некоторых служб удаленных процедурных вызовов (RPC) и привела к проблемам с доступом для приложений, построенных на сети

Ну и вот тебе раз.

И вот тебе два:

"Вот тебе раз!" - сказал Штирлиц, когда прямо перед ним упал кирпич.

"Вот тебе два!" - сказал Мюллер и кинул второй.

Тут же я нашёл твиттер разработчиков, где они утверждали, что всё хорошо, всего лишь у 110 валидаторов сети нет консенсуса. Что такое консенсус? Это когда валидаторы договорившись добряют блок с тразакциями и он записыватся в блокчейн, который находится у каждого валидатора. То есть нет консенсуса, в теории сеть может быть реорганизована. А если средства ушли через мост, есть риск, что при реорганизации, эта транзакция просто окажется вне блокчейна, т.к. при отправке через мост идёт две транзы. Первая в оригинальном блокчейне откуда идёт отправка и вторая в принимающем блокчейне. Так вот если принимающий блокчейн в момент получение транзакции реорганизован, то он просто не запишет тразакцию, или допустим его могут откатить разработчики на несколько часов назад и как бы начать историю заново (так уже было с сетью эфира на заре его зарождения).

И тут мне стало немного не по себе, потому, что я когда себе заводил 80$ видел, что они пришли в блокчейн, что я их увидел во Fluid и добавил в сервис. Застейкал так сказать. И так же снял награды другому человеку и отсвапал и тоже застейкал. Значит всё должно работать.

Через твиттер я нашёл страницу поддержки, где указывается актуальное состояние сети - актуальное состояние - сеть работает, блокчейн обозреватели - нет.

И ссылка на единственный нативный обозреватель который отображает работу блокчейна тык.

Ни сколько не удивился обнаружив, что 30 из 110-120 нод, просто не работают, а остальные в процессе обновления который разработчик готовил примерно 9 часов!

Тут до меня дошло! Так вся сеть полигон держится получается на 110-30 нод, итого 80 нод. И если они все вдруг перестанут работать или большая их часть, ну как бы сети капздец. Понятно, что накатят и восстановят, но сеть с 1-2 миллиардами TVL ну не должна так безалаберно относится к работе нод и валидаторов и так долго готовить обновление, для решения проблемы отсутствия консенсуса, который как бы был, просто слегка так минут на 15 запаздывал за транзакциями.

Из-за чего все приложения, кошельки и RPC выдавали сбой, а метамаск, так вообще отказывался к ней подключаться.

..

Когда обновление накатили, а я следил в реальном времени, как обновляется и перезагружается каждая нода,

я попытался вытащить средства через Across.to, но он бережно заблокировал ввод и вывод в сеть полигон, с заботой о пользователях.

Я вспомнил про старый добрый нативный CCTP Bridge.

И не спешно вывел вначале свои жалкие копейки 2480$, причём разбивая на мелкие тразакции, чтобы убедится, что всё же всё работает и подтверждается на обоих концах.

Потом и два депозита инвесторов в USDC в сеть арбитрум. Где спокойно заложил их на тот же Fluid почти под те же 10% годовых (правда на 0,5% меньше) .

В прошлое...

Почему я вывел не смотря на то, что сеть работает.

Сеть Luna UST 2022 год. Токен луна падает, UST отвязывается от своего курса в 1$, сеть продолжает работать, курс UST пытается поднять LunaGuard или как он там назывался продажей 80000 BTC, но так как капитализация UST на тот момент была около 18 млрд долларов, а 80000 BTC по курсу 40000$ это всего 3,2 млрд, естественно это не спасает.

У меня депозит залочен в протоколе на месяц, хорошо уже прошло 3 недели и спустя неделю я смог достать 3/4 от того, что было. Знакомому друга, достал 2/3 так как у него залочено было чуть позже, т.е. из 15000$ достал около 10000$ и это ещё сказочно повезло, если бы не было временной блокировки по таймеру, я бы вывел всё.

Сеть Fantom 2023 год. Взлом самого крупного моста на тот момент Multichain bridge примерно на 300-400 млн долларов. Единственного моста который вёл в сеть Fantom, а т.к. нативных токенов тогда не было, то все USDC, USDT, BTC и ETH были обёрнуты мостом, т.е. грубо говоря в сети эфира были заблокированы оригинальные токены, а в сети фантом выпущены обёрнутые. И когда мост взломали, то украли естественно оригинальные, а обёрнутые стали стремительно дешеветь.

Два депозита я успел выдернуть, свои и ещё одного человека, а два не успел, т.к. доступа к кошелькам у меня не было. А одни друзья уехали в Питер и им просто было некогда вынимать, пока их USDT падал, а другой друг улетал и был в аэропорту и я просто подумал, что может ещё есть шанс, что всё разрулится и по его прилёту мы всё решим.

Но ничего не разрулилось, токены украли, все значимые активы в сети fantom обесценились, сеть, как и сеть luna по сути умерла. Хотя ещё и функционировала технически.

В настоящее...

Нет сеть Polygon не умрёт, сегодня - завтра заработает обозреватель и всё будет работать как и прежде.

Но 110 нод из который 30 не подтверждают блоки навели меня на мысль. Что ну нет смысла доверять такой сети.

Avalanche - около 1000 нод, Solana около 1000 нод, эфир -около 10000 нод, Polygon - 110 нод, не все работают.

(До этого момента мой текст).

Комментарии нейросети:

Объясни риски сети Polygon с учётом этого описания, которое есть на сайте L2beats, которое анализирует данные l2 сетей эфира. А так же с учётом твоих знаний:

"Users can submit transactions to an L1 queue, but can’t force them. The sequencers cannot selectively skip transactions but can stop processing the queue entirely. In other words, if the sequencers censor or are down, they are so for everyone. In Polygon PoS, the sequencers network corresponds to the PoS validators network, which is composed of 104 members."

(с этого момента отвечает нейросеть):

Отличный вопрос. Вы привели ключевое описание одного из самых важных и часто обсуждаемых рисков Polygon PoS. Давайте разберем его на составляющие и добавим контекст.

Описание с L2Beat касается риска цензуры и отказа в обслуживании (Censorship & Downgrade Attack). Вот что это означает на практике:

1. Суть риска (Объяснение цитаты)

• "Users can submit transactions to an L1 queue...": Это ссылка на так называемый "аварийный выход" или механизм обхода Sequencer'а. Если валидаторы Polygon (их Sequencer'ы) перестанут включать вашу транзакцию в блок (цензура) или полностью отключатся, вы, как пользователь, можете отправить свою транзакцию напрямую в контракт в Ethereum (в L1). Эта транзакция попадает в специальную очередь.
• "...but can’t force them.": Вот здесь и кроется главная проблема. Вы можете отправить транзакцию в очередь на L1, но вы не можете заставить валидаторов Polygon обработать эту транзакцию и включить её в следующий блок на стороне Polygon. У вас нет механизма принуждения.
• "The sequencers cannot selectively skip transactions but can stop processing the queue entirely.": Это очень важное уточнение.
• Не могут избирательно пропускать: Валидатор не может посмотреть в очереди L1 и сказать "вот эту транзакцию от Алисы я проигнорирую, а вот эту от Боба обработаю". Это хорошо, так как предотвращает целенаправленную цензуру.
• Но могут полностью остановить обработку: Вся сеть валидаторов может полностью перестать забирать транзакции из этой L1-очереди. Это и есть основной риск.

2. Ключевые риски, вытекающие из этого механизма

а) Риск "Остановки по решению владельцев" (Owner-Operated Downgrade)

• Кто владелец? Polygon PoS использует набор смарт-контрактов на Ethereum, управление которыми осуществляется через мультисиг-кошелек. Этот кошелек контролируется основателями Polygon.
• Сценарий риска: Если по какой-либо причине (регуляторное давление, судебный иск, злой умысел) команда Polygon решит остановить сеть, они могут использовать свои привилегированные ключи, чтобы отключить обработку L1-очереди. Это парализует мост между Ethereum и Polygon и заблокирует средства в системе.
• Важный нюанс: Это не означает, что они могут украсть ваши средства. Средства будут в безопасности в смарт-контрактах на Ethereum. Но вы не сможете вывести их на L1, пока команда не "включит" сеть обратно. Это риск доступности, а не сохранности средств.

б) Риск "Сговора валидаторов" (Validator Collusion)

• 104 валидатора: Сеть из 104 нод достаточно децентрализована, но теоретически возможен сговор.
• Сценарий риска: Если более 2/3 (около 67) валидаторов договорятся остановить обработку L1-очереди, они могут effectively остановить вывод средств для всех. Им даже не нужно контролировать ключи управления, они могут просто договориться не включать транзакции из очереди в свои блоки.

в) Технический сбой

• Может произойти критический баг в клиентском ПО, используемом всеми валидаторами, который приведет к тому, что они не смогут корректно обрабатывать очередь L1.

3. Сравнение с другими L2 (например, Rollups)

Это главный пункт, почему L2Beat и сообщество выделяют этот риск у Polygon.

• В Optimistic Rollups (Arbitrum, Optimism): Пользователь может принудительно вывести свои средства, даже если Sequencer цензурирует его. Для этого он запускает так называемый "честный" или "вызывающий" (fraud proof) выход. Пользователь взаимодействует с контрактами L1 напрямую, и для завершения процесса ему не нужна помощь Sequencer'ов L2. Это делает сеть более устойчивой к цензуре.
• В Polygon PoS (Sidechain): Такого механизма нет. Ваша транзакция в L1-очереди полностью зависит от доброй воли (или работоспособности) валидаторов Polygon. Если они "молчат", вы ничего не можете сделать, кроме как ждать.

Итог: Каковы основные риски Polygon?

1. Риск цензуры/остановки (Главный по вашему запросу): Возможность остановки вывода средств владельцами системы или сговорившимися валидаторами. Это риск доступности (availability), а не сохранности (safety) средств.
2. Риск безопасности модели: Polygon PoS — это не rollup, а сайдчейн. Его безопасность обеспечивается отдельным пулом из 104 валидаторов с собственным механизмом Proof-of-Stake. Это менее проверенная и теоретически более централизованная модель, чем безопасность самого Ethereum, которую используют Rollups. Чтобы атаковать сеть, нужно атаковать её валидаторов, а не Ethereum.
3. Риск моста: Все средства в Polygon по сути являются "замороженными" в смарт-контракте на Ethereum. Безопасность ваших активов в конечном счете зависит от корректности кода этого моста и от честности валидаторов, которые его обслуживают.

Вывод: Описание на L2Beat подчеркивает фундаментальное отличие безопасности сайдчейна (как Polygon PoS) от роллупов. В Polygon существует явный риск того, что вывод средств может быть остановлен на неопределенный срок централизованной стороной (владельцами мультисига) или крупным пулом валидаторов, в то время как в роллупах у пользователя есть механизм самостоятельного принудительного выхода, который не требует сотрудничества с операторами L2.

Несмотря на эти риски, сеть Polygon работает годами, имеет крупные TVL и доверие сообщества. Однако понимать эти компромиссы (более высокая скорость и дешевизна vs. потенциально более низкая устойчивость к цензуре) очень важно.

(до этого момента отвечает нейросеть)

С этого момента продолжение статьи:

Что ещё нужно знать работая с сетями.

• Какой TVL у сети - чем больше тем лучше.
• L1 это или L2, если L2 то L2 от какой сети
• Какие мосты ведут в сеть, есть ли оригинальный мост от разработчиков
• Выпущены ли в этой сети оригинальные токены USDT и USDC, не обёрнутые. В Polygon - выпущены.
• Риски L2 сетей проверенные на этом сайте:

• Сколько валидаторов у сети
• Активны ли разработчики сети

По сути после 4 лет в DeFi я доверяю далеко не всем сетям, в частности:

• Ethereum N1
• l2: arbitrum, optimism, base, unichain, возможно Linea.
• Hyperliquid L1
• Avalanche
• Polygon
• BNB-chain (пока жив банан, но не более, т.к. всего 25 валидаторов)
• Cosmos
• Polkadot
• Near
• Solana
• Sui - >>? (около 100 валидаторов), под вопросом.
• Apt ->>? (сколько 150 валидаторов), под вопросом.
• Tron (использую только для обменов), валидаторов много - сеть надёжна.
• BTC - TOP
• Fantom
• Terra
• Kusama
• Waves
• Kava
• Moonrever
• Harmony
• Canto
• Etehreum Classic
• Cardano

Всё, остальное пока не прошло проверку временем и скорее всего и не пройдёт.

...

На текущий момент средства успешно возвращены через CCTP и мне и остальным двоим, у кого они были в полигоне, в надёжную l2 сеть.

Сверху кошелек отображает изминения баланса в течении дня. Баланс упал - средства ушли в полигон, вырос вышли из полигона, а значит они в безопасности.

...

Ещё бы восстановить, то что ликвидировало после Трампо-дампа и было бы вообще хорошо. Но я пока не знаю как.

..

Работать сегодня больше не стал, взял 2 бутылки пива и доширак.

Мне кажется после такого стресса, только это и помогает...