Ezen a héten az Aave Labs bemutatott egy részletes biztonsági keretrendszert az Aave V4-hez, amely közel egy évnyi auditot, formális verifikációt és nyilvános tesztelést ismertet, mindezt azért, hogy megerősítse azt, amit széles körben a decentralizált pénzügyek legnagyobb hitelezési protokolljának tartanak, még a tényleges indulás előtt.
Az Aave Labs felvázolja az Aave V4 hitelezési protokoll egyéves biztonsági tervét
ÍRTA
MEGOSZTÁS
A DeFi-óriás Aave biztonsági keretrendszert adott ki az Aave V4 indulása előtt
A szervezet egy fórumbejegyzésben közölte, hogy a biztonsági program összesen nagyjából 345 kumulatív felülvizsgálati napot ölelt fel, és az Aave decentralizált autonóm szervezete (DAO) által jóváhagyott 1,5 millió dolláros költségvetés támogatta. Ahelyett, hogy a biztonságot az indulás előtti utolsó pillanatos akadályként kezelték volna, az Aave Labs szerint a folyamat már a tervezési szakaszban elkezdődött, és folytatódott a kódellenőrzéseken, tesztelésen, valamint a végső javítás-ellenőrzéseken keresztül.
A kezdeményezés 2025 márciusában indult, amikor a formális verifikációval foglalkozó Certora a fejlesztőkhöz csatlakozott egy Aave-tervezési workshop során, hogy segítsen kialakítani a protokoll verifikációs keretrendszerét. Független biztonsági kutatók az korai architekturális döntéseket is áttekintették, adverszariális visszajelzéseket adva még azelőtt, hogy a kódbázis eljutott volna az auditálási szakaszba.
2025 szeptemberétől novemberéig több auditcég — köztük a Chainsecurity, a Trail of Bits és a Blackthorn — végzett manuális kódellenőrzéseket és invariáns-tesztelést. Tizenöt biztonsági kutató vett részt a folyamatban, több mint 275 auditnapot hozzátéve azzal, hogy az V4 kódbázisát és a protokollmechanikát vizsgálták.
Ezt követően 2025 novemberétől 2026 januárjáig nyilvános biztonsági verseny zajlott a Sherlock platformon. Több mint 900 ellenőrzött résztvevő több mint 950 megállapítást nyújtott be, miközben a kódot vizsgálta. Az Aave Labs szerint nem azonosítottak kritikus vagy magas súlyosságú sebezhetőségeket, és a beküldések többségét érvénytelennek minősítették.
A 2026 februárjában lezajlott második auditrunda további mintegy 80 felülvizsgálati nappal egészült ki, amely a javítások validálására és annak biztosítására összpontosított, hogy az új foltok ne vezessenek be új problémákat. A Trail of Bits, a Blackthorn és a Chainsecurity közzétett jelentései szintén nem találtak magas súlyosságú hibákat.
Az Aave Labs szerint az V4 kódbázisa kisebb, mint az elődjéé, egy újratervezett hub-and-spoke architektúrának köszönhetően, amelyről a fejlesztők azt állítják, hogy egyszerűsítette az áttekintést és csökkentette a lehetséges támadási felületeket. A vállalat a fejlesztés során mesterséges intelligencia (AI)-alapú auditáló eszközöket is tesztelt, bár az ember által vezetett elemzés maradt az elsődleges biztonsági réteg.
A jövőre nézve az Aave Labs elmagyarázta, hogy a további fejlesztési ciklusok során fenn kívánja tartani a formális verifikációt, folytatni kívánja a rétegzett biztonsági tesztelési módszereket, és bevezet egy állandó bug bounty programot — lényegében arra invitálva a hackereket, hogy próbáljanak szerencsét még azelőtt, hogy a támadók megtennék.
GYIK 🔎
- Mi az az Aave V4?
Az Aave V4 az Aave hitelezési protokoll közelgő verziója, egy decentralizált pénzügyi platform, amely lehetővé teszi a felhasználók számára digitális eszközök kölcsönadását és kölcsönvételét. - Mennyi ideig auditálták az Aave V4-et?
A protokoll nagyjából 345 kumulatív napnyi biztonsági felülvizsgálaton esett át, beleértve az auditokat, a formális verifikációt és a nyilvános tesztelést. - Találtak-e az auditorok jelentős sebezhetőségeket az Aave V4-ben?
Több auditcég közzétett jelentései szerint nem találtak kritikus vagy magas súlyosságú sebezhetőségeket. - Milyen biztonsági lépéseket fog az Aave alkalmazni a jövőbeli kiadásokban?
Az Aave Labs tervei szerint folytatja a formális verifikációt, a rétegzett tesztelést, és bevezet egy folyamatos bug bounty programot a protokoll biztonságának monitorozására.
