Aave Labs окреслює річний план безпеки для кредитного протоколу Aave V4

DeFi-гігант Aave випускає систему безпеки напередодні запуску Aave V4

Організація повідомила у дописі на форумі, що програма безпеки охопила приблизно 345 сумарних днів перевірок і була підкріплена бюджетом у $1,5 млн, схваленим децентралізованою автономною організацією Aave (DAO). Замість того щоб розглядати безпеку як перешкоду в останню мить перед запуском, Aave Labs заявила, що процес розпочався на етапі проєктування й тривав через рев’ю коду, тестування та фінальні перевірки усунення недоліків.

Зусилля розпочалися в березні 2025 року, коли компанія з формальної верифікації Certora приєдналася до розробників під час дизайн-воркшопу Aave, щоб допомогти сформувати рамки верифікації протоколу. Незалежні дослідники безпеки також переглянули ранні архітектурні рішення, надавши «адверсарний» зворотний зв’язок ще до того, як кодова база дійшла до етапу аудиту.

З вересня по листопад 2025 року кілька аудиторських фірм — зокрема Chainsecurity, Trail of Bits і Blackthorn — провели ручні рев’ю коду та тестування інваріантів. У процесі взяли участь п’ятнадцять дослідників безпеки, які внесли понад 275 аудиторських днів, досліджуючи кодову базу V4 та механіку протоколу.

Далі між листопадом 2025 року та січнем 2026 року на платформі Sherlock відбувся публічний конкурс із безпеки. Понад 900 верифікованих учасників подали більш як 950 знахідок, перевіряючи код. За даними Aave Labs, критичних або високосерйозних вразливостей не було виявлено, а більшість подань визнали недійсними.

У лютому 2026 року другий раунд аудиту додав близько 80 додаткових днів перевірок, зосереджених на валідації виправлень і гарантуванні того, що нові патчі не створили свіжих проблем. Опубліковані звіти Trail of Bits, Blackthorn і Chainsecurity так само повідомляли про відсутність вад високої серйозності.

Aave Labs заявила, що кодова база V4 менша за свою попередницю завдяки переробленій архітектурі «hub-and-spoke» (хаб і спиці), яку, за словами розробників, було простіше перевіряти й яка зменшила потенційні поверхні атаки. Компанія також тестувала інструменти аудиту на основі штучного інтелекту (ШІ) під час розробки, хоча аналіз під керівництвом людей залишався основним рівнем безпеки.

Дивлячись уперед, Aave Labs пояснила, що планує підтримувати формальну верифікацію в майбутніх циклах розробки, продовжувати багаторівневі методи тестування безпеки та запровадити постійну програму винагород за виявлення багів — по суті, запрошуючи хакерів спробувати щастя до того, як це зроблять зловмисники.

FAQ 🔎

• Що таке Aave V4?
  Aave V4 — це майбутня версія протоколу кредитування Aave, платформи децентралізованих фінансів, що дозволяє користувачам надавати в позику та позичати цифрові активи.
• Як довго Aave V4 проходив аудит?
  Протокол пройшов приблизно 345 сумарних днів перевірок безпеки, включно з аудитами, формальною верифікацією та публічним тестуванням.
• Чи виявили аудитори значні вразливості в Aave V4?
  Опубліковані звіти кількох аудиторських фірм повідомили, що критичних або високосерйозних вразливостей не виявлено.
• Які кроки безпеки Aave застосовуватиме в майбутніх релізах?
  Aave Labs планує продовжувати формальну верифікацію, багаторівневе тестування та запровадити постійну програму винагород за виявлення багів для моніторингу безпеки протоколу.