این هفته، آوه لبز یک چارچوب امنیتی مفصل برای Aave V4 رونمایی کرد و نزدیک به یک سال حسابرسی، راستیآزمایی رسمی و آزمونهای عمومی را توضیح داد که برای سختتر کردن آنچه بهطور گسترده بزرگترین پروتکل وامدهی امور مالی غیرمتمرکز دانسته میشود، پیش از راهاندازی رسمی طراحی شده است.
Aave Labs طرح امنیتی یکساله برای پروتکل وامدهی Aave V4 را ترسیم میکند
نویسنده
اشتراک
غول دیفای آوه پیش از راهاندازی Aave V4 چارچوب امنیتی منتشر کرد
این سازمان در یک پست انجمن اعلام کرد که برنامه امنیتی در مجموع حدود ۳۴۵ روز بازبینی را در بر گرفته و با بودجه ۱.۵ میلیون دلاری که توسط سازمان خودگردان غیرمتمرکز (DAO) آوه تأیید شده بود پشتیبانی میشد. آوه لبز بهجای آنکه امنیت را بهعنوان مانعی لحظه آخری پیش از عرضه تلقی کند، گفت این فرایند از مرحله طراحی آغاز شد و در سراسر بازبینی کد، آزمونها و بررسیهای نهایی رفع ایرادات ادامه یافت.
این تلاش در مارس ۲۰۲۵ آغاز شد؛ زمانی که شرکت راستیآزمایی رسمی Certora در یک کارگاه طراحی آوه به توسعهدهندگان پیوست تا به شکلدهی چارچوب راستیآزمایی پروتکل کمک کند. پژوهشگران امنیتی مستقل نیز تصمیمهای معماری اولیه را بررسی کردند و پیش از آنکه پایگاه کد به مرحله حسابرسی برسد، بازخورد خصمانه (adversarial) ارائه دادند.
از سپتامبر تا نوامبر ۲۰۲۵، چندین شرکت حسابرسی — از جمله Chainsecurity، Trail of Bits و Blackthorn — بازبینیهای دستی کد و آزمون ناورداییها (invariant testing) را انجام دادند. پانزده پژوهشگر امنیتی در این فرایند مشارکت کردند و بیش از ۲۷۵ روز حسابرسی را صرف بررسی پایگاه کد V4 و سازوکارهای پروتکل کردند.
پس از آن، یک رقابت امنیتی عمومی بین نوامبر ۲۰۲۵ تا ژانویه ۲۰۲۶ روی پلتفرم Sherlock برگزار شد. بیش از ۹۰۰ شرکتکننده تأییدشده در حالی که کد را کاوش میکردند، بیش از ۹۵۰ یافته ارسال کردند. به گفته آوه لبز، هیچ آسیبپذیری بحرانی یا با شدت بالا شناسایی نشد و بیشتر ارسالها نامعتبر تشخیص داده شد.
درام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
اکنون بخوانید
درام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
اکنون بخوانیددرام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اکنون بخوانیداوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
دور دوم حسابرسی در فوریه ۲۰۲۶ حدود ۸۰ روز بازبینی اضافی را اضافه کرد که بر اعتبارسنجی اصلاحات و اطمینان از اینکه وصلههای جدید مشکل تازهای ایجاد نمیکنند متمرکز بود. گزارشهای منتشرشده از Trail of Bits، Blackthorn و Chainsecurity نیز به همین ترتیب اعلام کردند هیچ نقص با شدت بالا وجود ندارد.
درام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
اکنون بخوانیددرام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
اکنون بخوانیددرام و گزارشهای متناقض صحنه را برای تصمیم پرمخاطره DAO آوه فراهم میکنند
اکنون بخوانیداوضاع این هفته پس از آن شدت گرفت که مارک زلر، بنیانگذار Aave Chan Initiative، آنچه را «حسابرسی» از کارنامه Aave Labs نامید، منتشر کرد. read more.
آوه لبز گفت پایگاه کد V4 به دلیل معماری بازطراحیشده «هاب و اسپوک» (hub-and-spoke) از نسخه پیشین کوچکتر است؛ معماریای که توسعهدهندگان میگویند بازبینی را سادهتر کرده و سطحهای بالقوه حمله را کاهش داده است. این شرکت همچنین در طول توسعه، ابزارهای حسابرسی مبتنی بر هوش مصنوعی (AI) را آزمایش کرد، هرچند تحلیل هدایتشده توسط انسان همچنان لایه اصلی امنیت باقی ماند.
در ادامه، آوه لبز توضیح داد که قصد دارد راستیآزمایی رسمی را در چرخههای توسعه آینده حفظ کند، روشهای آزمون امنیتی لایهای را ادامه دهد و یک برنامه دائمی باگ بانتی (bug bounty) معرفی کند — که اساساً از هکرها دعوت میکند پیش از مهاجمان، شانس خود را امتحان کنند.
پرسشهای متداول 🔎
- Aave V4 چیست؟
Aave V4 نسخه آتی پروتکل وامدهی آوه است؛ یک پلتفرم امور مالی غیرمتمرکز که به کاربران امکان میدهد داراییهای دیجیتال را وام بدهند و وام بگیرند. - Aave V4 چه مدت حسابرسی شد؟
این پروتکل در مجموع حدود ۳۴۵ روز بازبینی امنیتی را پشت سر گذاشت که شامل حسابرسیها، راستیآزمایی رسمی و آزمونهای عمومی بود. - آیا حسابرسان آسیبپذیریهای مهمی در Aave V4 پیدا کردند؟
گزارشهای منتشرشده از چندین شرکت حسابرسی اعلام کردند هیچ آسیبپذیری بحرانی یا با شدت بالا گزارش نشده است. - آوه در انتشارهای آینده از چه گامهای امنیتی استفاده خواهد کرد؟
آوه لبز قصد دارد راستیآزمایی رسمی و آزمونهای لایهای را ادامه دهد و یک برنامه مداوم باگ بانتی برای پایش امنیت پروتکل معرفی کند.
