Aave Labs apresenta plano de segurança em camadas para V4 após programa de auditoria de $1,5 milhão

Aave Labs publicou uma proposta detalhada para garantir a próxima versão do maior protocolo de empréstimos DeFi, delineando um processo de auditoria e verificação que durará um ano para o Aave V4 e comprometendo-se a estender essas práticas para os desenvolvimentos futuros.

Em uma postagem no fórum de governança lançada esta semana, a empresa descreveu o esforço do V4 como um “modelo com prioridade para a segurança”, onde as proteções de contratos inteligentes foram incorporadas desde as fases iniciais da arquitetura, em vez de serem tratadas como uma auditoria final antes do lançamento.

O programa combinou verificação formal, auditorias manuais, testes de invariantes, fuzzing e um concurso público de segurança, totalizando aproximadamente 345 dias acumulados de revisão entre equipes internas, auditores externos e pesquisadores independentes.

O trabalho foi financiado através de um orçamento de segurança de $1,5 milhão ratificado pelo Aave DAO, conforme os detalhes compartilhados.

Compromissos principais

Aave Labs afirmou que a experiência levou a adotar cinco compromissos de segurança de longo prazo para o desenvolvimento futuro do protocolo.

Incorporar verificação formal desde o início dos ciclos de desenvolvimento, manter metodologias de segurança em camadas que combinam múltiplas técnicas de auditoria, realizar verificação contínua paralela ao desenvolvimento, lançar um programa de recompensas contínuo para identificação de bugs e desenvolver ainda mais a varredura assistida por IA para contratos inteligentes foram listados como compromissos principais daqui em diante.

A verificação formal, em particular, teve papel central no processo do V4, disse a Labs. A empresa de verificação Certora colaborou com os desenvolvedores da Aave desde as etapas iniciais do design, ajudando a moldar a arquitetura e identificar vulnerabilidades antes do código entrar nos ciclos formais de auditoria.

Além da verificação formal, o protocolo também passou por diversas rodadas de auditoria manual envolvendo empresas como ChainSecurity, Trail of Bits e Blackthorn, além de pesquisadores independentes de segurança. Uma suíte separada de testes de invariantes foi desenvolvida usando ferramentas de fuzzing para testar o comportamento dos componentes principais, como contabilização de liquidez, lógica de liquidação e modelos de taxa de juros.

O código do protocolo também foi exposto a um concurso público de segurança de seis semanas hospedado pela Sherlock entre dezembro de 2025 e janeiro de 2026. Mais de 900 participantes verificados enviaram mais de 950 descobertas durante o concurso, embora o programa não tenha relatado vulnerabilidades críticas ou de alta gravidade.

Aave Labs afirmou que o próprio código do V4 foi intencionalmente projetado para ser menor e mais modular do que seu antecessor, seguindo a reformulação da arquitetura hub-and-spoke do protocolo, permitindo auditorias mais direcionadas e revisão de segurança simplificada.

O modelo de segurança do V4 também incorporou feedback de provedores de serviços de risco e integradores que constroem aplicações sobre o protocolo de empréstimo. As contribuições deles expandiram o modelo de ameaças para incluir não apenas interações diretas de usuários, mas também pressupostos de segurança de sistemas integrados que dependem da liquidez da Aave.

Conflito no Aave DAO

A divulgação de segurança da Aave Labs surge em um período de turbulência interna no ecossistema Aave. Disputas de governança se intensificaram nos últimos meses em relação à alocação de fundos, direção do protocolo e papel dos principais contribuintes.

No início deste ano, a BGD Labs — um contribuidor técnico de longa data responsável por partes importantes da infraestrutura do protocolo — anunciou planos para encerrar trabalhos relacionados à Aave após aproximadamente quatro anos de envolvimento.

Mais recentemente, o fundador da ACI, Marc Zeller, afirmou que a Aave Chan Initiative, outro participante importante da governança, planeja se afastar do protocolo em julho devido ao aumento das tensões entre os contribuintes.

Esses acontecimentos se seguiram a um debate polêmico de governança sobre uma proposta conhecida como “Aave will win”, que detalhava mudanças de receitas e planos mais amplos para a próxima atualização V4. A proposta foi aprovada em uma votação preliminar com 52,6% de apoio, destacando divisões dentro do DAO sobre a direção futura do protocolo.

Aave é o maior protocolo de empréstimos onchain, e está entre os principais geradores de taxas mensais do DeFi, de acordo com o painel de dados do The Block.