本週,Aave Labs 發布了 Aave V4 的詳細安全框架,描述了近一年的審計、形式化驗證和公開測試,旨在在該協議上線前強化被廣泛認為是 去中心化金融 最大借貸協議的安全性。
DeFi 巨頭 Aave 在 Aave V4 上線前發布安全框架
該組織在 論壇貼文 中表示,該安全計劃共耗時約 345 天的審查,並獲得 Aave 去中心化自治組織( DAO)批准的 1.5 百萬美元預算支持。與將安全視為上線前的臨時障礙不同,Aave Labs 表示,該過程從設計階段便已開始,並持續進行代碼審查、測試和最終修復檢查。
該努力始於2025年3月,當時正式驗證公司 Certora 加入 Aave 設計工作坊的開發團隊,協助塑造協議的驗證框架。獨立安全研究人員也審查了早期的架構決策,在程式碼庫進入審計階段前提供了對抗性回饋。
從2025年9月至11月,多家審計公司——包括 Chainsecurity、Trail of Bits 和 Blackthorn——進行了手動代碼審查和不變性測試。十五名安全研究人員參與了這一過程,累計投入超過 275 個審計日,對 V4 代碼庫和協議機制進行了檢驗。
於2025年11月至2026年1月期間,Sherlock 平台上舉行了一場公開安全競賽。超過 900 名已驗證的參與者在審查代碼時提交了超過 950 項發現。根據 Aave Labs 的說法,未發現任何關鍵或高嚴重性漏洞,且大多數提交內容被視為無效。
2026 年 2 月的第二輪審計增加了約 80 天的審查時間,專注於驗證修復內容並確保新補丁未引入新的問題。Trail of Bits、Blackthorn 和 Chainsecurity 發布的報告同樣未報告任何高嚴重性漏洞。
Aave Labs 表示,由於採用了重新設計的中心輻條架構,V4 代碼庫比其前身更小,開發人員表示這簡化了審查並減少了潛在的攻擊面。該公司在開發過程中還測試了 人工智慧 (AI) 驗證工具,但人為分析仍是主要的安全層。
展望未來,Aave Labs 表示,計劃在未來的開發週期中維持形式化驗證、持續採用分層安全測試方法,並推出常設漏洞懸賞計劃——本質上是邀請駭客在攻擊者之前嘗試尋找漏洞。
常見問題 ?
- 什麼是 Aave V4?
Aave V4 是 Aave 借貸協議的即將推出的版本,這是一個讓用戶可以借出和借入數碼資產的去中心化金融平台。 - Aave V4 审計了多久?
該協議經歷了約 345 天的累計安全審查,包括審計、形式驗證和公眾測試。 - 審計師是否在 Aave V4 中發現重大漏洞?
多家審計公司發布的報告均未發現關鍵或高嚴重性漏洞。 - Aave 未來的版本將採用哪些安全措施?
Aave Labs 計畫繼續進行形式化驗證、分層測試,並推出持續的漏洞懸賞計劃,以監控協議安全。
