Aave Labs stellt mehrschichtigen Sicherheitsplan für V4 nach Audit-Programm in Höhe von 1,5 Millionen Dollar vor

Aave Labs hat einen detaillierten Leitfaden zur Sicherung der nächsten Version des größten DeFi-Lending-Protokolls veröffentlicht. Dabei wurde ein einjähriger Audit- und Verifizierungsprozess für Aave V4 skizziert und versprochen, diese Praktiken auf zukünftige Entwicklungen auszudehnen.

In einem Beitrag im Governance-Forum, der diese Woche veröffentlicht wurde, beschrieb das Unternehmen die V4-Initiative als ein „Security-First-Framework“, bei dem Schutzmechanismen für Smart Contracts bereits in den frühesten architektonischen Phasen verankert wurden, anstatt erst als abschließender Pre-Launch-Audit betrachtet zu werden.

Das Programm kombinierte formale Verifizierung, manuelle Audits, invariant Testing, Fuzzing und einen öffentlichen Sicherheitswettbewerb. Insgesamt wurden etwa 345 kumulierte Prüfungstage von internen Teams, externen Prüfern und unabhängigen Forschern investiert.

Die Arbeiten wurden über ein vom Aave DAO genehmigtes Sicherheitsbudget in Höhe von 1,5 Millionen US-Dollar finanziert, wie aus den geteilten Details hervorgeht.

Wichtige Verpflichtungen

Aave Labs erklärte, dass die gewonnenen Erfahrungen dazu geführt haben, fünf langfristige Sicherheitsverpflichtungen für die zukünftige Protokollentwicklung zu übernehmen.

Die Verankerung formaler Verifizierung von Beginn des Entwicklungszyklus an, die Aufrechterhaltung einer abgestuften Sicherheitsmethodik durch die Kombination verschiedener Audit-Techniken, das kontinuierliche Verifizieren parallel zur Entwicklung, die Einrichtung eines laufenden Bug-Bounty-Programms sowie die Weiterentwicklung KI-gestützter Smart-Contract-Scans wurden als zentrale Verpflichtungen genannt.

Insbesondere die formale Verifizierung spielte im V4-Prozess eine zentrale Rolle, wie die Labs berichteten. Die Verifizierungsfirma Certora arbeitete von den frühesten Designphasen an mit den Aave-Entwicklern zusammen, half beim Aufbau der Architektur und beim Identifizieren von Schwachstellen, bevor der Code formalen Auditrunden unterzogen wurde.

Über die formale Verifizierung hinaus durchlief das Protokoll mehrere manuelle Audit-Runden, an denen Unternehmen wie ChainSecurity, Trail of Bits und Blackthorn sowie unabhängige Sicherheitsforscher beteiligt waren. Eine separate Suite zur invariant Testing wurde unter Einsatz von Fuzzing-Tools entwickelt, um das Verhalten der Kernkomponenten wie Liquiditätsberechnung, Liquidationslogik und Zinsmodelle zu testen.

Der Codebase des Protokolls wurde außerdem einem sechswöchigen öffentlichen Sicherheitswettbewerb unterzogen, der im Dezember 2025 bis Januar 2026 auf Sherlock stattfand. Über 900 verifizierte Teilnehmer reichten mehr als 950 Findings im Wettbewerb ein, allerdings wurden keine kritischen oder schwerwiegenden Schwachstellen gemeldet.

Aave Labs erklärte, dass der V4-Codebase bewusst kleiner und modularer gestaltet wurde als sein Vorgänger – entsprechend dem Hub-and-Spoke-Architektur-Redesign des Protokolls –, um gezieltere Audits und vereinfachte Sicherheitsüberprüfungen zu ermöglichen.

Das V4-Sicherheitsmodell beinhaltete zudem Feedback von Risiko-Service-Anbietern und Integratoren, die Anwendungen auf dem Lending-Protokoll bauen. Ihre Beiträge erweiterten das Threat-Modell, sodass nicht nur direkte Benutzerinteraktionen, sondern auch die Sicherheitsannahmen integrierter Systeme, die auf Aave-Liquidität setzen, berücksichtigt wurden.

Aave DAO-Konflikt

Die Sicherheits-Offenlegung von Aave Labs erfolgt in einer Phase interner Turbulenzen innerhalb des Aave-Ökosystems. Governance-Konflikte haben sich in den letzten Monaten hinsichtlich Finanzierungszuweisungen, zukünftigen Protokollrichtungen und der Rolle zentraler Mitwirkender verschärft.

Anfang dieses Jahres kündigte BGD Labs – ein langjähriger technischer Mitwirkender, verantwortlich für wesentliche Teile der Protokollstruktur – Pläne an, nach etwa vier Jahren die Aave-bezogene Arbeit einzustellen.

Vor Kurzem erklärte ACI-Gründer Marc Zeller, dass die Aave Chan Initiative, ein weiterer wichtiger Governance-Teilnehmer, im Juli aus dem Protokoll zurücktreten werde, angesichts wachsender Spannungen unter den Mitwirkenden.

Diese Entwicklungen folgten auf eine kontroverse Governance-Debatte rund um den Vorschlag „Aave will win“, der Änderungen am Revenue-Modell und umfassendere Pläne zum bevorstehenden V4-Upgrade skizzierte. Der Vorschlag bestand die Temperatur-Check-Abstimmung mit 52,6 % Zustimmung und verdeutlichte die Spaltungen innerhalb der DAO über die zukünftige Ausrichtung des Protokolls.

Aave ist laut dem Daten-Dashboard von The Block das größte On-Chain-Lending-Protokoll und zählt zu den Top-Genehmigern monatlicher DeFi-Gebühren.