Az Aave Labs felvázolja az Aave V4 hitelezési protokoll egyéves biztonsági tervét

A DeFi-óriás Aave biztonsági keretrendszert adott ki az Aave V4 indulása előtt

A szervezet egy fórumbejegyzésben közölte, hogy a biztonsági program összesen nagyjából 345 kumulatív felülvizsgálati napot ölelt fel, és az Aave decentralizált autonóm szervezete (DAO) által jóváhagyott 1,5 millió dolláros költségvetés támogatta. Ahelyett, hogy a biztonságot az indulás előtti utolsó pillanatos akadályként kezelték volna, az Aave Labs szerint a folyamat már a tervezési szakaszban elkezdődött, és folytatódott a kódellenőrzéseken, tesztelésen, valamint a végső javítás-ellenőrzéseken keresztül.

A kezdeményezés 2025 márciusában indult, amikor a formális verifikációval foglalkozó Certora a fejlesztőkhöz csatlakozott egy Aave-tervezési workshop során, hogy segítsen kialakítani a protokoll verifikációs keretrendszerét. Független biztonsági kutatók az korai architekturális döntéseket is áttekintették, adverszariális visszajelzéseket adva még azelőtt, hogy a kódbázis eljutott volna az auditálási szakaszba.

2025 szeptemberétől novemberéig több auditcég — köztük a Chainsecurity, a Trail of Bits és a Blackthorn — végzett manuális kódellenőrzéseket és invariáns-tesztelést. Tizenöt biztonsági kutató vett részt a folyamatban, több mint 275 auditnapot hozzátéve azzal, hogy az V4 kódbázisát és a protokollmechanikát vizsgálták.

Ezt követően 2025 novemberétől 2026 januárjáig nyilvános biztonsági verseny zajlott a Sherlock platformon. Több mint 900 ellenőrzött résztvevő több mint 950 megállapítást nyújtott be, miközben a kódot vizsgálta. Az Aave Labs szerint nem azonosítottak kritikus vagy magas súlyosságú sebezhetőségeket, és a beküldések többségét érvénytelennek minősítették.

A 2026 februárjában lezajlott második auditrunda további mintegy 80 felülvizsgálati nappal egészült ki, amely a javítások validálására és annak biztosítására összpontosított, hogy az új foltok ne vezessenek be új problémákat. A Trail of Bits, a Blackthorn és a Chainsecurity közzétett jelentései szintén nem találtak magas súlyosságú hibákat.

Az Aave Labs szerint az V4 kódbázisa kisebb, mint az elődjéé, egy újratervezett hub-and-spoke architektúrának köszönhetően, amelyről a fejlesztők azt állítják, hogy egyszerűsítette az áttekintést és csökkentette a lehetséges támadási felületeket. A vállalat a fejlesztés során mesterséges intelligencia (AI)-alapú auditáló eszközöket is tesztelt, bár az ember által vezetett elemzés maradt az elsődleges biztonsági réteg.

A jövőre nézve az Aave Labs elmagyarázta, hogy a további fejlesztési ciklusok során fenn kívánja tartani a formális verifikációt, folytatni kívánja a rétegzett biztonsági tesztelési módszereket, és bevezet egy állandó bug bounty programot — lényegében arra invitálva a hackereket, hogy próbáljanak szerencsét még azelőtt, hogy a támadók megtennék.

GYIK 🔎

• Mi az az Aave V4?
  Az Aave V4 az Aave hitelezési protokoll közelgő verziója, egy decentralizált pénzügyi platform, amely lehetővé teszi a felhasználók számára digitális eszközök kölcsönadását és kölcsönvételét.
• Mennyi ideig auditálták az Aave V4-et?
  A protokoll nagyjából 345 kumulatív napnyi biztonsági felülvizsgálaton esett át, beleértve az auditokat, a formális verifikációt és a nyilvános tesztelést.
• Találtak-e az auditorok jelentős sebezhetőségeket az Aave V4-ben?
  Több auditcég közzétett jelentései szerint nem találtak kritikus vagy magas súlyosságú sebezhetőségeket.
• Milyen biztonsági lépéseket fog az Aave alkalmazni a jövőbeli kiadásokban?
  Az Aave Labs tervei szerint folytatja a formális verifikációt, a rétegzett tesztelést, és bevezet egy folyamatos bug bounty programot a protokoll biztonságának monitorozására.