Aave Labs predstavi celoletni varnostni načrt za posojilni protokol Aave V4

DeFi velikan Aave pred lansiranjem Aave V4 objavil varnostni okvir

Organizacija je v objavi na forumu navedla, da je varnostni program obsegal približno 345 kumulativnih dni pregledov in ga je podprl proračun v višini 1,5 milijona dolarjev, ki ga je odobrila decentralizirana avtonomna organizacija Aave (DAO). Namesto da bi varnost obravnavali kot oviro v zadnjem trenutku pred lansiranjem, je Aave Labs povedal, da se je proces začel že v fazi zasnove in se nadaljeval skozi preglede kode, testiranje in končne preveritve odprave pomanjkljivosti.

Prizadevanje se je začelo marca 2025, ko se je podjetje za formalno verifikacijo Certora pridružilo razvijalcem na Aave delavnici zasnove, da bi pomagalo oblikovati okvir za verifikacijo protokola. Neodvisni varnostni raziskovalci so prav tako pregledali zgodnje arhitekturne odločitve in zagotovili adversarialne povratne informacije, še preden je koda prišla v fazo revizij.

Od septembra do novembra 2025 je več revizijskih podjetij — med njimi Chainsecurity, Trail of Bits in Blackthorn — izvedlo ročne preglede kode in testiranje invariant. V procesu je sodelovalo petnajst varnostnih raziskovalcev, ki so prispevali več kot 275 revizijskih dni pri preučevanju kode V4 in mehanike protokola.

Sledilo je javno varnostno tekmovanje med novembrom 2025 in januarjem 2026 na platformi Sherlock. Več kot 900 verificiranih udeležencev je med preizkušanjem kode oddalo več kot 950 ugotovitev. Po navedbah Aave Labs niso bile identificirane kritične ranljivosti ali ranljivosti z visoko stopnjo resnosti, večina prijav pa je bila ocenjena kot neveljavna.

Drugi krog revizij februarja 2026 je dodal približno 80 dodatnih dni pregledov, osredotočenih na potrjevanje popravkov in zagotavljanje, da novi popravki ne uvajajo novih težav. Objavljena poročila Trail of Bits, Blackthorn in Chainsecurity so prav tako poročala, da ni bilo pomanjkljivosti z visoko stopnjo resnosti.

Aave Labs je povedal, da je koda V4 manjša od svojega predhodnika zaradi prenovljene arhitekture tipa hub-and-spoke, za katero razvijalci pravijo, da je poenostavila pregled in zmanjšala potencialne napadalne površine. Podjetje je med razvojem testiralo tudi orodja za revizijo, ki temeljijo na umetni inteligenci (UI), čeprav je človeško vodena analiza ostala primarna varnostna plast.

V prihodnje je Aave Labs pojasnil, da namerava ohranjati formalno verifikacijo v prihodnjih razvojnih ciklih, nadaljevati z večplastnimi metodami varnostnega testiranja in uvesti stalni program nagrad za odkrivanje napak — v bistvu povabiti hekerje, da preizkusijo svojo srečo, še preden to storijo napadalci.

Pogosta vprašanja 🔎

• Kaj je Aave V4?
  Aave V4 je prihajajoča različica posojilnega protokola Aave, platforme decentraliziranih financ, ki uporabnikom omogoča posojanje in izposojo digitalnih sredstev.
• Kako dolgo je bil Aave V4 revidiran?
  Protokol je prestal približno 345 kumulativnih dni varnostnih pregledov, vključno z revizijami, formalno verifikacijo in javnim testiranjem.
• Ali so revizorji v Aave V4 našli večje ranljivosti?
  Objavljena poročila več revizijskih podjetij niso poročala o kritičnih ranljivostih ali ranljivostih z visoko stopnjo resnosti.
• Katere varnostne korake bo Aave uporabljal v prihodnjih izdajah?
  Aave Labs namerava nadaljevati s formalno verifikacijo, večplastnim testiranjem in uvesti stalni program nagrad za odkrivanje napak za spremljanje varnosti protokola.