Aave Labs načrtáva celoročný bezpečnostný plán pre úverový protokol Aave V4

DeFi gigant Aave zverejnil bezpečnostný rámec pred spustením Aave V4

Organizácia uviedla v príspevku na fóre, že bezpečnostný program zahŕňal približne 345 kumulatívnych dní kontroly a bol podporený rozpočtom 1,5 milióna dolárov schváleným decentralizovanou autonómnou organizáciou Aave (DAO). Namiesto toho, aby bezpečnosť vnímali ako prekážku na poslednú chvíľu pred spustením, Aave Labs uviedla, že proces sa začal už vo fáze návrhu a pokračoval cez revízie kódu, testovanie a záverečné kontroly nápravných opatrení.

Úsilie sa začalo v marci 2025, keď sa k vývojárom počas návrhového workshopu Aave pripojila spoločnosť Certora, špecializovaná na formálnu verifikáciu, aby pomohla formovať verifikačný rámec protokolu. Nezávislí bezpečnostní výskumníci tiež posúdili skoré architektonické rozhodnutia a poskytli adversariálnu spätnú väzbu ešte predtým, než sa kódová báza dostala do fázy auditovania.

Od septembra do novembra 2025 niekoľko audítorských firiem — vrátane Chainsecurity, Trail of Bits a Blackthorn — vykonalo manuálne revízie kódu a testovanie invariantov. Na procese sa podieľalo pätnásť bezpečnostných výskumníkov, ktorí prispeli viac než 275 auditnými dňami skúmania kódovej bázy V4 a mechanizmov protokolu.

Nasledovala verejná bezpečnostná súťaž medzi novembrom 2025 a januárom 2026 na platforme Sherlock. Viac než 900 overených účastníkov odoslalo vyše 950 zistení pri preverovaní kódu. Podľa Aave Labs neboli identifikované žiadne kritické ani vysoko závažné zraniteľnosti a väčšina podaní bola vyhodnotená ako neplatná.

A druhé kolo auditov vo februári 2026 pridalo približne 80 ďalších dní kontroly zameranej na overenie opráv a na uistenie sa, že nové záplaty nezavádzajú nové problémy. Zverejnené správy od Trail of Bits, Blackthorn a Chainsecurity rovnako uvádzali, že sa nenašli žiadne vysoko závažné nedostatky.

Aave Labs uviedla, že kódová báza V4 je menšia než jej predchodca vďaka prepracovanej architektúre typu hub-and-spoke, o ktorej vývojári tvrdia, že zjednodušila kontrolu a znížila potenciálne útočné plochy. Spoločnosť počas vývoja testovala aj audítorské nástroje založené na umelej inteligencii (AI), hoci primárnou bezpečnostnou vrstvou zostala analýza vedená ľuďmi.

Do budúcna Aave Labs vysvetlila, že plánuje udržiavať formálnu verifikáciu počas ďalších vývojových cyklov, pokračovať vo viacvrstvových metódach bezpečnostného testovania a zaviesť trvalý program bug bounty — v podstate pozýva hackerov, aby to skúsili skôr, než to urobia útočníci.

FAQ 🔎

• Čo je Aave V4?
  Aave V4 je pripravovaná verzia úverového protokolu Aave, platformy decentralizovaných financií, ktorá používateľom umožňuje požičiavať a požičiavať si digitálne aktíva.
• Ako dlho prebiehal audit Aave V4?
  Protokol prešiel približne 345 kumulatívnymi dňami bezpečnostných kontrol vrátane auditov, formálnej verifikácie a verejného testovania.
• Našli audítori v Aave V4 závažné zraniteľnosti?
  Zverejnené správy od viacerých audítorských firiem uvádzali, že sa nenašli žiadne kritické ani vysoko závažné zraniteľnosti.
• Aké bezpečnostné kroky bude Aave používať v budúcich vydaniach?
  Aave Labs plánuje pokračovať vo formálnej verifikácii, viacvrstvovom testovaní a zaviesť priebežný program bug bounty na monitorovanie bezpečnosti protokolu.