Aave Labs stellt mehrschichtigen Sicherheitsplan für V4 nach 1,5-Millionen-Dollar-Audit-Programm vor

Aave Labs hat einen detaillierten Leitfaden zur Sicherung der nächsten Version des größten DeFi-Kreditprotokolls veröffentlicht und einen einjährigen Prüfungs- und Verifizierungsprozess für Aave V4 vorgestellt sowie zugesagt, diese Praktiken auf zukünftige Entwicklungen auszuweiten.

In einem diese Woche veröffentlichten Beitrag im Governance-Forum beschreibt das Unternehmen die V4-Initiative als ein "Sicherheits-orientiertes Framework", bei dem der Schutz von Smart Contracts bereits in den frühen Architekturphasen integriert wurde, anstatt als abschließende Vorabprüfung behandelt zu werden.

Das Programm kombiniert formale Verifikation, manuelle Audits, Invariantentests, Fuzzing und einen öffentlichen Sicherheitswettbewerb, was in Summe etwa 345 kumulierte Prüftage durch interne Teams, externe Prüfer und unabhängige Forscher ergibt.

Die Arbeiten wurden durch einen vom Aave DAO genehmigten Sicherheitsbudget von 1,5 Millionen Dollar finanziert, wie aus den geteilten Informationen hervorgeht.

Wichtige Zusagen

Aave Labs erklärte, dass diese Erfahrung dazu geführt hat, fünf langfristige Sicherheitszusagen für die zukünftige Protokollentwicklung zu übernehmen.

Das Einbinden formaler Verifikation bereits zu Beginn des Entwicklungszyklus, die Verwendung von mehrschichtigen Sicherheitsmethoden, die mehrere Prüfungstechniken kombinieren, kontinuierliche Verifikation parallel zur Entwicklung, der Start eines fortlaufenden Bug-Bounty-Programms sowie die Weiterentwicklung KI-gestützter Smart-Contract-Scanning-Technologien wurden als zentrale Zusagen für die Zukunft genannt.

Insbesondere die formale Verifikation spielte im V4-Prozess eine zentrale Rolle, so die Labs. Das Verifikationsunternehmen Certora arbeitete von den frühesten Design-Phasen an mit den Entwicklern von Aave zusammen und half dabei, die Architektur zu gestalten und Schwachstellen zu identifizieren, bevor der Code in formale Audit-Runden ging.

Über die formale Verifikation hinaus wurde das Protokoll mehreren manuellen Audit-Runden unterzogen, bei denen Firmen wie ChainSecurity, Trail of Bits und Blackthorn sowie unabhängige Sicherheitsforscher beteiligt waren. Ein separates Invariantentest-Suite wurde mit Fuzzing-Tools entwickelt, um das Verhalten von Kernkomponenten wie Liquiditätsbuchhaltung, Liquidationslogik und Zinssatzmodellen zu testen.

Die Codebasis des Protokolls wurde außerdem einem sechswöchigen öffentlichen Sicherheitswettbewerb unterzogen, der auf Sherlock zwischen Dezember 2025 und Januar 2026 stattfand. Mehr als 900 verifizierte Teilnehmer reichten während des Wettbewerbs über 950 Erkenntnisse ein, wobei das Programm jedoch keine kritischen oder schwerwiegenden Schwachstellen meldete.

Aave Labs erklärte, dass die V4-Codebasis bewusst kleiner und modularer konzipiert wurde als ihr Vorgänger, was dem neu gestalteten Hub-and-Spoke-Architektur des Protokolls folgt und gezieltere Prüfungen sowie eine vereinfachte Sicherheitsüberprüfung ermöglicht.

Das V4-Sicherheitsmodell beinhaltete außerdem Rückmeldungen von Risiko-Serviceanbietern und Integratoren, die Anwendungen auf Basis des Kreditprotokolls entwickeln. Ihr Input erweiterte das Bedrohungsmodell, um nicht nur direkte Nutzerinteraktionen, sondern auch die Sicherheitsannahmen integrierter Systeme, die auf Aave-Liquidität angewiesen sind, zu berücksichtigen.

Konflikt im Aave DAO

Die Sicherheitsinformation von Aave Labs erscheint in einer Phase innerer Turbulenzen für das Aave-Ökosystem. In jüngster Zeit haben Governance-Konflikte bezüglich Finanzierungszuweisungen, Protokollrichtung und der Rolle wichtiger Mitwirkender zugenommen.

Anfang dieses Jahres kündigte BGD Labs – ein langjähriger technischer Beitragender, der für Hauptteile der Protokoll-Infrastruktur verantwortlich ist – nach etwa vier Jahren die Beendigung von Aave-bezogenen Arbeiten an.

Kürzlich erklärte Marc Zeller, Gründer von ACI, dass die Aave Chan Initiative, ein weiterer wichtiger Governance-Akteur, plant, das Protokoll im Juli zu verlassen, angesichts zunehmender Spannungen zwischen Mitwirkenden.

Diese Entwicklungen folgten auf eine kontroverse Governance-Debatte über einen Vorschlag namens "Aave will win", der Einnahmeänderungen und breitere Pläne für das anstehende V4-Upgrade vorsah. Der Vorschlag bestand die Temperature-Check-Abstimmung mit 52,6% Zustimmung, was die Spaltungen innerhalb des DAO bezüglich der zukünftigen Ausrichtung des Protokolls deutlich machte.

Aave ist das größte Onchain-Kreditprotokoll und gehört laut Daten-Dashboard von The Block zu den führenden Generierern monatlicher DeFi-Gebühren.