Aave Labs, Aave V4 대출 프로토콜을 위한 1년간의 보안 청사진 공개

DeFi 공룡 Aave, Aave V4 출시 앞두고 보안 프레임워크 공개

해당 조직은 포럼 게시글에서 보안 프로그램이 누적 약 345일에 달하는 검토 기간에 걸쳐 진행됐으며, Aave 탈중앙화 자율 조직(DAO)이 승인한 150만 달러의 예산으로 뒷받침됐다고 밝혔다. 보안을 출시 직전의 마지막 관문으로 취급하기보다, Aave Labs는 이 과정이 설계 단계에서 시작돼 코드 리뷰, 테스트, 최종 시정 조치 점검까지 이어졌다고 말했다.

이번 노력은 2025년 3월, 형식 검증 기업 Certora가 Aave 설계 워크숍에서 개발자들과 함께 참여해 프로토콜의 검증 프레임워크를 구성하는 데 도움을 주면서 시작됐다. 독립 보안 연구자들도 초기 아키텍처 결정 사항을 검토해 코드베이스가 감사 단계에 도달하기 전에 공격자 관점의 피드백을 제공했다.

2025년 9월부터 11월까지 Chainsecurity, Trail of Bits, Blackthorn 등을 포함한 여러 감사 업체가 수동 코드 리뷰와 불변조건(invariant) 테스트를 수행했다. 보안 연구자 15명이 이 과정에 참여했으며, V4 코드베이스와 프로토콜 메커니즘을 살피는 데 275일이 넘는 감사 일수를 기여했다.

이후 2025년 11월부터 2026년 1월까지 Sherlock 플랫폼에서 공개 보안 콘테스트가 진행됐다. 검증된 참가자 900명 이상이 코드를 탐색하며 950건이 넘는 제보를 제출했다. Aave Labs에 따르면 치명적 또는 높은 심각도의 취약점은 발견되지 않았고, 대부분의 제출물은 유효하지 않은 것으로 판정됐다.

2026년 2월의 2차 감사 라운드에서는 수정 사항 검증과 신규 패치가 새로운 문제를 유발하지 않는지 확인하는 데 초점을 맞춰 약 80일의 추가 검토가 이뤄졌다. Trail of Bits, Blackthorn, Chainsecurity가 공개한 보고서 역시 높은 심각도의 결함이 없다고 보고했다.

Aave Labs는 V4 코드베이스가 재설계된 허브-앤-스포크(hub-and-spoke) 아키텍처 덕분에 전작보다 더 작아졌으며, 개발자들은 이것이 검토를 단순화하고 잠재적 공격 표면을 줄였다고 말했다. 또한 회사는 개발 과정에서 인공지능(AI) 기반 감사 도구도 시험했지만, 사람 주도의 분석이 여전히 핵심 보안 계층으로 유지됐다고 밝혔다.

향후 Aave Labs는 미래 개발 주기에서도 형식 검증을 유지하고, 다층 보안 테스트 방법을 지속하며, 상시 버그 바운티 프로그램을 도입할 계획이라고 설명했다. 이는 공격자보다 먼저 해커들이 취약점을 찾도록 사실상 문을 여는 방식이다.

FAQ 🔎

• Aave V4란 무엇인가요?
  Aave V4는 Aave 대출 프로토콜의 차기 버전으로, 사용자가 디지털 자산을 빌려주고 빌릴 수 있게 하는 탈중앙화 금융 플랫폼입니다.
• Aave V4는 얼마나 오래 감사받았나요?
  해당 프로토콜은 감사, 형식 검증, 공개 테스트를 포함해 누적 약 345일의 보안 검토를 거쳤습니다.
• 감사에서 Aave V4의 중대한 취약점이 발견됐나요?
  여러 감사 업체가 공개한 보고서에서 치명적 또는 높은 심각도의 취약점은 보고되지 않았습니다.
• 향후 릴리스에서 Aave는 어떤 보안 조치를 사용할 예정인가요?
  Aave Labs는 형식 검증과 다층 테스트를 지속하고, 프로토콜 보안을 모니터링하기 위한 상시 버그 바운티 프로그램을 도입할 계획입니다.