Aave Labs delinea un piano di sicurezza a livelli per la V4 dopo un programma di audit da 1,5 milioni di dollari

Aave Labs ha pubblicato un progetto dettagliato per garantire la sicurezza della prossima versione del più grande protocollo di lending DeFi, delineando un processo di audit e verifica della durata di un anno per Aave V4 e impegnandosi a estendere queste pratiche agli sviluppi futuri.

In un post sul forum di governance pubblicato questa settimana, l’azienda ha descritto lo sforzo per la V4 come un “framework con priorità alla sicurezza”, in cui le protezioni degli smart contract vengono integrate fin dalle prime fasi architetturali invece di essere trattate come una semplice verifica pre-lancio.

Il programma ha combinato verifica formale, audit manuali, testing di invarianti, fuzzing e un contest pubblico di sicurezza, per una durata complessiva di circa 345 giorni di revisione da parte di team interni, auditor esterni e ricercatori indipendenti.

Il lavoro è stato finanziato tramite un budget di sicurezza di 1,5 milioni di dollari ratificato dalla DAO di Aave, secondo i dettagli condivisi.

Impegni chiave

Aave Labs ha dichiarato che questa esperienza l’ha portata ad adottare cinque impegni di sicurezza a lungo termine per lo sviluppo futuro del protocollo.

Integrare la verifica formale già dall’inizio dei cicli di sviluppo, mantenere metodologie di sicurezza multilivello che combinano diverse tecniche di audit, eseguire una verifica continua insieme allo sviluppo, lanciare un programma costante di bug bounty e sviluppare ulteriormente sistemi di scansione degli smart contract assistita da AI sono tutti considerati impegni fondamentali per il futuro.

La verifica formale, in particolare, ha giocato un ruolo centrale nel processo di V4, afferma il team Labs. L’azienda di verifica Certora ha collaborato con gli sviluppatori di Aave sin dalle fasi iniziali di progettazione, contribuendo a modellare l’architettura e ad identificare le vulnerabilità prima dell’ingresso del codice nei round ufficiali di audit.

Oltre alla verifica formale, il protocollo ha anche subito numerosi audit manuali, coinvolgendo società come ChainSecurity, Trail of Bits e Blackthorn, oltre a ricercatori indipendenti di sicurezza. Una speciale suite di test per gli invarianti è stata sviluppata usando strumenti di fuzzing per testare il comportamento dei componenti chiave come la contabilità della liquidità, la logica di liquidazione e i modelli dei tassi di interesse.

Il codice del protocollo ha inoltre partecipato a un contest pubblico di sicurezza di sei settimane ospitato su Sherlock tra dicembre 2025 e gennaio 2026. Più di 900 partecipanti verificati hanno presentato oltre 950 risultati durante il contest, sebbene il programma non abbia segnalato vulnerabilità critiche o ad alta gravità.

Aave Labs ha inoltre dichiarato che il codice base della V4 è stato intenzionalmente progettato per essere più piccolo e modulare rispetto al predecessore, seguendo la riprogettazione architetturale a hub-and-spoke del protocollo, consentendo audit più mirati e una revisione della sicurezza semplificata.

Il modello di sicurezza di V4 ha anche incorporato feedback da parte di fornitori di servizi di rischio e integratori che costruiscono applicazioni sul protocollo di lending. Il loro contributo ha ampliato il modello di minaccia includendo non solo le interazioni dirette degli utenti, ma anche le assunzioni di sicurezza dei sistemi integrati che si affidano alla liquidità di Aave.

Conflitto nella DAO di Aave

La divulgazione sulla sicurezza di Aave Labs arriva in un periodo di turbolenza interna per l’ecosistema Aave. Le dispute di governance si sono intensificate negli ultimi mesi in merito a allocazioni di fondi, direzione del protocollo e ruolo dei principali contributori.

All’inizio dell’anno, BGD Labs — un contributore tecnico di lunga data responsabile di gran parte dell’infrastruttura del protocollo — ha annunciato l’intenzione di cessare il lavoro su Aave dopo circa quattro anni di coinvolgimento.

Più recentemente, il fondatore di ACI Marc Zeller ha dichiarato che l’Aave Chan Initiative, un altro importante partecipante alla governance, intende allontanarsi dal protocollo a luglio a causa dell’escalation delle tensioni tra i collaboratori.

Questi sviluppi seguono un dibattito controverso di governance su una proposta nota come “Aave will win”, che delineava modifiche ai ricavi e piani più ampi per il prossimo upgrade V4. La proposta è stata approvata dal voto di temperatura con il 52.6% di supporto, evidenziando le divisioni all’interno della DAO sulla direzione futura del protocollo.

Aave è il più grande protocollo di lending onchain ed è, secondo i dati della dashboard di The Block, tra i principali generatori di commissioni mensili in DeFi.