Aave Labs hahmottelee vuoden mittaisen tietoturvasuunnitelman Aave V4 -lainaprotokollalle

DeFi-jätti Aave julkaisee tietoturvakehyksen ennen Aave V4:n lanseerausta

Organisaatio kertoi foorumikirjoituksessa, että tietoturvaohjelma kattoi yhteensä noin 345 kumulatiivista tarkastuspäivää ja sitä tuki 1,5 miljoonan dollarin budjetti, jonka Aaven hajautettu autonominen organisaatio (DAO) hyväksyi. Sen sijaan, että tietoturvaa olisi käsitelty viime hetken esteenä ennen julkaisua, Aave Labs sanoi prosessin alkaneen jo suunnitteluvaiheessa ja jatkuneen koodikatselmointien, testauksen ja lopullisten korjaustoimien tarkistusten kautta.

Ponnistus alkoi maaliskuussa 2025, kun formaalin varmennuksen yritys Certora liittyi kehittäjien seuraan Aaven suunnittelutyöpajassa auttaakseen muotoilemaan protokollan varmennuskehystä. Riippumattomat tietoturvatutkijat tarkastelivat myös varhaisia arkkitehtuuripäätöksiä ja antoivat hyökkääjämäistä palautetta ennen kuin koodipohja eteni auditointivaiheeseen.

Syyskuusta marraskuuhun 2025 useat auditointiyritykset — mukaan lukien Chainsecurity, Trail of Bits ja Blackthorn — tekivät manuaalisia koodikatselmointeja ja invarianttitestausta. Prosessiin osallistui 15 tietoturvatutkijaa, jotka tekivät yli 275 auditointipäivää tutkien V4-koodipohjaa ja protokollan mekaniikkaa.

Julkinen tietoturvakilpailu seurasi marraskuun 2025 ja tammikuun 2026 välisenä aikana Sherlock-alustalla. Yli 900 varmennettua osallistujaa jätti yli 950 havaintoa samalla kun he luotasivat koodia. Aave Labsin mukaan kriittisiä tai korkean vakavuusasteen haavoittuvuuksia ei löydetty, ja suurin osa ilmoituksista katsottiin virheellisiksi.

Toinen auditointikierros helmikuussa 2026 lisäsi noin 80 tarkastuspäivää, jotka keskittyivät korjausten validointiin ja siihen, etteivät uudet paikkaukset aiheuta uusia ongelmia. Trail of Bitsin, Blackthornin ja Chainsecurityn julkaistut raportit raportoivat niin ikään, ettei korkean vakavuusasteen puutteita löytynyt.

Aave Labs kertoi, että V4-koodipohja on edeltäjäänsä pienempi uudelleen suunnitellun hub-and-spoke-arkkitehtuurin ansiosta, jonka kehittäjien mukaan tarkastelu yksinkertaistui ja mahdolliset hyökkäyspinnat vähenivät. Yhtiö testasi kehityksen aikana myös tekoälyyn (AI) perustuvia auditointityökaluja, vaikka ihmisten tekemä analyysi pysyi ensisijaisena tietoturvakerroksena.

Tulevaisuutta ajatellen Aave Labs selitti aikovansa ylläpitää formaalia varmennusta tulevien kehityssyklien aikana, jatkaa kerroksittaisia tietoturvatestausmenetelmiä ja ottaa käyttöön pysyvän bug bounty -ohjelman — käytännössä kutsuen hakkereita kokeilemaan onneaan ennen kuin hyökkääjät ehtivät.

UKK 🔎

• Mikä on Aave V4?
  Aave V4 on Aave-lainaprotokollan tuleva versio, hajautetun rahoituksen alusta, joka mahdollistaa käyttäjille digitaalisten varojen lainaamisen ja lainaksi ottamisen.
• Kuinka kauan Aave V4:ää auditoitiin?
  Protokolla kävi läpi noin 345 kumulatiivista tietoturvatarkastuspäivää, mukaan lukien auditoinnit, formaali varmennus ja julkinen testaus.
• Löysivätkö auditoijat merkittäviä haavoittuvuuksia Aave V4:stä?
  Useiden auditointiyritysten julkaistut raportit kertoivat, ettei kriittisiä tai korkean vakavuusasteen haavoittuvuuksia havaittu.
• Mitä tietoturvatoimia Aave käyttää tulevissa julkaisuissa?
  Aave Labs aikoo jatkaa formaalia varmennusta, kerroksittaista testausta ja ottaa käyttöön jatkuvan bug bounty -ohjelman protokollan tietoturvan seuraamiseksi.