Aave Labs Phác thảo Lộ trình Bảo mật Kéo dài Một năm cho Giao thức Cho vay Aave V4

Gã khổng lồ DeFi Aave công bố khuôn khổ bảo mật trước thềm ra mắt Aave V4

Tổ chức cho biết trong một bài đăng trên diễn đàn rằng chương trình bảo mật kéo dài khoảng 345 ngày rà soát cộng dồn và được hậu thuẫn bởi ngân sách 1,5 triệu USD do tổ chức tự trị phi tập trung (DAO) của Aave phê duyệt. Thay vì xem bảo mật như một rào cản phút chót trước khi ra mắt, Aave Labs cho biết quy trình này bắt đầu ngay từ giai đoạn thiết kế và tiếp tục xuyên suốt các đợt rà soát mã, thử nghiệm và kiểm tra khắc phục cuối cùng.

Nỗ lực này bắt đầu vào tháng 3/2025 khi công ty xác minh hình thức Certora tham gia cùng các nhà phát triển trong một hội thảo thiết kế Aave để giúp định hình khuôn khổ xác minh của giao thức. Các nhà nghiên cứu bảo mật độc lập cũng đã rà soát các quyết định kiến trúc ban đầu, cung cấp phản hồi mang tính đối kháng trước khi mã nguồn bước vào giai đoạn kiểm toán.

Từ tháng 9 đến tháng 11/2025, một số công ty kiểm toán — bao gồm Chainsecurity, Trail of Bits và Blackthorn — đã tiến hành rà soát mã thủ công và kiểm thử bất biến. Mười lăm nhà nghiên cứu bảo mật tham gia quá trình này, đóng góp hơn 275 ngày kiểm toán để xem xét mã nguồn V4 và cơ chế của giao thức.

Sau đó là một cuộc thi bảo mật công khai diễn ra từ tháng 11/2025 đến tháng 1/2026 trên nền tảng Sherlock. Hơn 900 người tham gia đã được xác minh gửi hơn 950 phát hiện trong quá trình thăm dò mã nguồn. Theo Aave Labs, không có lỗ hổng mức nghiêm trọng (critical) hoặc mức độ nghiêm trọng cao (high-severity) nào được xác định, và phần lớn các bài gửi được đánh giá là không hợp lệ.

A second audit round in February 2026 added about 80 additional review days focused on validating fixes and ensuring new patches did not introduce fresh issues. Published reports from Trail of Bits, Blackthorn, and Chainsecurity likewise reported no high-severity flaws.

Aave Labs cho biết mã nguồn V4 nhỏ hơn phiên bản tiền nhiệm nhờ kiến trúc hub-and-spoke được thiết kế lại, mà các nhà phát triển nói rằng đã đơn giản hóa việc rà soát và giảm các bề mặt tấn công tiềm năng. Công ty cũng đã thử nghiệm các công cụ kiểm toán dựa trên trí tuệ nhân tạo (AI) trong quá trình phát triển, dù phân tích do con người dẫn dắt vẫn là lớp bảo mật chủ đạo.

Nhìn về phía trước, Aave Labs giải thích rằng họ dự định duy trì xác minh hình thức trong các chu kỳ phát triển tương lai, tiếp tục các phương pháp kiểm thử bảo mật theo nhiều lớp và triển khai một chương trình tiền thưởng lỗi (bug bounty) thường trực — về cơ bản là mời các hacker thử vận may trước khi kẻ tấn công làm điều đó.

FAQ 🔎

• Aave V4 là gì?
  Aave V4 là phiên bản sắp ra mắt của giao thức cho vay Aave, một nền tảng tài chính phi tập trung cho phép người dùng cho vay và vay các tài sản số.
• Aave V4 đã được kiểm toán trong bao lâu?
  Giao thức đã trải qua khoảng 345 ngày rà soát bảo mật cộng dồn, bao gồm kiểm toán, xác minh hình thức và thử nghiệm công khai.
• Các kiểm toán viên có tìm thấy lỗ hổng lớn trong Aave V4 không?
  Các báo cáo được công bố từ nhiều công ty kiểm toán cho biết không có lỗ hổng mức nghiêm trọng (critical) hoặc mức độ nghiêm trọng cao (high-severity) nào.
• Aave sẽ sử dụng những bước bảo mật nào trong các bản phát hành tương lai?
  Aave Labs dự định tiếp tục xác minh hình thức, kiểm thử theo nhiều lớp và giới thiệu một chương trình tiền thưởng lỗi (bug bounty) liên tục để giám sát an ninh của giao thức.