Aave Labs、Aave V4貸付プロトコル向け1年間のセキュリティ計画を提示

DeFiの巨人Aave、Aave V4ローンチ前にセキュリティフレームワークを公開

同組織はフォーラム投稿で、セキュリティプログラムは累計約345日間にわたる審査を要し、Aave分散型自律組織（DAO）が承認した150万ドルの予算で実施されたと説明した。セキュリティをローンチ直前の障害として扱うのではなく、設計段階から開始し、コードレビュー、テスト、最終的な修正チェックまで継続的に実施したと述べた。

この取り組みは2025年3月、形式検証企業のCertoraがAave設計ワークショップに開発者と共に参加し、プロトコルの検証フレームワーク構築を支援したことから始まりました。独立系セキュリティ研究者も初期のアーキテクチャ決定をレビューし、コードベースが監査段階に入る前に敵対的フィードバックを提供しました。

2025年9月から11月にかけて、Chainsecurity、Trail of Bits、Blackthornなど複数の監査企業が手動コードレビューと不変条件テストを実施しました。15名のセキュリティ研究者が参加し、V4コードベースとプロトコル機構を検証する過程で275日以上の監査日数を投入しました。

2025年11月から2026年1月にかけては、Sherlockプラットフォーム上で公開セキュリティコンテストを実施しました。900名以上の検証済み参加者がコードを調査し、950件以上の発見を提出しました。Aave Labsによれば、重大または高深刻度の脆弱性は確認されず、大半の提出物は無効と判断されました。

2026年2月の第2回監査では、修正内容の検証と新規パッチによる新たな問題発生の防止に焦点を当て、約80日間の追加レビューを実施しました。Trail of Bits、Blackthorn、Chainsecurityの各公開報告書も同様に高深刻度欠陥は報告されていません。

Aave Labsは、再設計されたハブ・アンド・スポーク構造によりV4コードベースが前バージョンより小型化し、開発者によればレビューの簡素化と潜在的な攻撃面の縮小につながったと説明しました。開発中には人工知能（AI）ベースの監査ツールを試験導入しましたが、人間主導の分析が主要なセキュリティ層として維持されました。

Aave Labsは、今後の開発サイクルでも形式検証を維持し、多層的なセキュリティテスト手法を継続するとともに、常設のバグ報奨金プログラムを導入する計画です。これは、攻撃者が行動する前にハッカーに試行の機会を提供するものです。

FAQ 🔎

• Aave V4とは何ですか？ Aave V4は、ユーザーがデジタル資産の貸し借りを行える分散型金融プラットフォーム「Aave」の貸付プロトコルの次期バージョンです。
• Aave V4の監査期間は？ 監査、形式検証、公開テストを含め、累計約345日間にわたるセキュリティレビューを実施しました。
• 監査機関はAave V4に重大な脆弱性を発見しましたか？ 複数の監査会社による公開報告書では、重大または高深刻度の脆弱性は報告されていません。
• 今後のリリースでAaveが採用するセキュリティ対策は？ Aave Labsは形式検証と階層的テストを継続し、プロトコルセキュリティを監視する継続的バグ報奨金プログラムを導入する予定です。