Aave Labs presenta un piano di sicurezza a livelli per V4 dopo un programma di audit da 1,5 milioni di dollari

Aave Labs ha pubblicato un piano dettagliato per garantire la sicurezza della prossima versione del più grande protocollo di lending DeFi, delineando un processo di audit e verifica della durata di un anno per Aave V4 e impegnandosi ad estendere queste pratiche agli sviluppi futuri.

In un post sul forum di governance pubblicato questa settimana, l'azienda ha descritto il lavoro su V4 come un "framework orientato alla sicurezza", in cui le protezioni degli smart contract sono state integrate fin dalle prime fasi architetturali e non trattate solo come un audit finale pre-rilascio.

Il programma ha combinato verifica formale, audit manuali, test di invarianza, fuzzing e un contest pubblico di sicurezza, per un totale di circa 345 giorni cumulativi di revisione tra team interni, auditor esterni e ricercatori indipendenti.

Il lavoro è stato finanziato tramite un budget di sicurezza di 1,5 milioni di dollari ratificato dalla DAO di Aave, secondo i dettagli condivisi.

Impegni principali

Aave Labs ha dichiarato che questa esperienza l'ha portata ad adottare cinque impegni di sicurezza a lungo termine per i futuri sviluppi del protocollo.

Integrare la verifica formale fin dall'inizio dei cicli di sviluppo, mantenere metodologie di sicurezza multilivello che combinano diverse tecniche di audit, eseguire una verifica continua parallelamente allo sviluppo, istituire un programma continuativo di bug bounty e sviluppare ulteriormente la scansione AI-assistita degli smart contract, sono stati tutti elencati come impegni chiave per il futuro.

La verifica formale, in particolare, ha avuto un ruolo centrale nel processo di V4, ha affermato il Labs. L'azienda di verifica Certora ha lavorato insieme agli sviluppatori di Aave fin dalle prime fasi di design, contribuendo a plasmare l'architettura e identificare le vulnerabilità prima che il codice entrasse nei round di audit formali.

Oltre alla verifica formale, il protocollo ha anche affrontato diversi round di audit manuali coinvolgendo aziende come ChainSecurity, Trail of Bits e Blackthorn, oltre a ricercatori indipendenti di sicurezza. È stata sviluppata una suite separata di test di invarianza usando strumenti di fuzzing per valutare il comportamento dei componenti principali come la contabilità della liquidità, la logica di liquidazione e i modelli dei tassi di interesse.

Il codice del protocollo è stato inoltre esposto a un contest pubblico di sicurezza di sei settimane ospitato su Sherlock tra dicembre 2025 e gennaio 2026. Più di 900 partecipanti verificati hanno inviato oltre 950 rilevamenti durante il contest, anche se il programma non ha segnalato vulnerabilità critiche o ad alta severità.

Aave Labs ha affermato che la base di codice di V4 stessa è stata volutamente progettata per essere più piccola e modulare rispetto alla versione precedente, seguendo la riprogettazione architetturale hub-and-spoke del protocollo, rendendo possibile audit più mirati e revisioni di sicurezza semplificate.

Il modello di sicurezza di V4 ha anche integrato il feedback dei fornitori di servizi di rischio e degli integratori che costruiscono applicazioni sul protocollo di lending. I loro contributi hanno ampliato il modello di minaccia includendo non solo le interazioni dirette degli utenti, ma anche le ipotesi di sicurezza dei sistemi integrati che si basano sulla liquidità di Aave.

Conflitto nella DAO di Aave

La divulgazione sulla sicurezza di Aave Labs arriva in un periodo di turbolenza interna per l'ecosistema di Aave. Le dispute di governance si sono intensificate negli ultimi mesi su allocazioni di fondi, direzione del protocollo e ruolo dei contributor chiave.

All'inizio di quest'anno, BGD Labs - contributor tecnico di lunga data responsabile di parti fondamentali dell'infrastruttura del protocollo - ha annunciato l'intenzione di cessare il lavoro relativo ad Aave dopo circa quattro anni di coinvolgimento.

Più di recente, il fondatore di ACI Marc Zeller ha dichiarato che l'Aave Chan Initiative, un altro rilevante partecipante alla governance, intende allontanarsi dal protocollo a luglio a causa delle crescenti tensioni tra i contributor.

Questi sviluppi hanno seguito un acceso dibattito di governance su una proposta nota come “Aave will win”, che delineava modifiche alle entrate e piani più ampi per l’imminente aggiornamento V4. La proposta è stata approvata con una “temperature check” con il 52,6% dei voti a favore, evidenziando divisioni interne alla DAO sulla direzione futura del protocollo.

Aave è il più grande protocollo di lending onchain e uno dei principali generatori di commissioni mensili DeFi, secondo la dashboard dati di The Block.