Aave Labs 150 мільйонів аудитів, 900 людей без вразливостей, революція безпеки V4 на порозі

Aave Labs інвестували близько 1,5 мільйонів доларів у всеохоплюючу безпекову перевірку перед випуском V4, яка тривала 345 днів. У рамках цієї програми залучили чотири провідні компанії з безпеки: ChainSecurity, Trail of Bits, Blackthorn і Certora, а також провели відкритий конкурс на платформі Sherlock, у якому взяли участь понад 900 дослідників, подали понад 950 робіт.

Аналіз плану аудиту на 1,5 мільйона доларів: багаторівнева структура безпеки

Основна ідея цього аудиту — «паралельне багатогранне тестування», а не традиційний одностадійний процес перевірки. Весь план фінансується DAO Aave і складається з трьох основних етапів:

Перевірка від інституційних компаній з безпеки: ChainSecurity, Trail of Bits, Blackthorn і Certora глибоко тестували код протоколу з різних точок зору, включаючи зворотне інжиніринг, формальне доведення та сценарії межових випадків смарт-контрактів.

Шеститижневий відкритий конкурс: з грудня 2025 року по січень 2026 року на платформі Sherlock понад 900 незалежних дослідників подали понад 950 робіт. Учасники, які не виявили критичних вразливостей, отримали нагороди; 10 000 доларів США в USDC розподілили між шістьма дослідниками за їхні результати.

Постійна програма винагород за вразливості: Aave Labs пропонують створити на Sherlock постійний канал для повідомлення про вразливості V4 із системою класифікації, що дозволить фільтрувати низькоякісні звіти та пріоритетно реагувати на високоризикові виявлення.

Ранні дослідники відзначили, що для проекту, який ще перебував на початковій стадії аудиту, структура коду V4 була «надзвичайно простою», що свідчить про те, що безпека була закладена ще на етапі розробки.

Багаторівнева модель безпеки V4: від «спершу збудувати — потім перевірити» до «одночасно збудовувати і перевіряти»

У процесі розробки V4 команда Aave систематично відмовилася від поширеної в DeFi практики «швидких ітерацій з виправленнями після виявлення помилок». Безпекова структура V4 базується на п’яти ключових принципах:

Формальне доведення (Formal Verification): Certora створила математичні правила («інваріанти»), яким код має відповідати завжди. Перед початком ручної перевірки код проходить автоматичне формальне доведення, що дозволяє систематично виявляти логічні межі та потенційні вразливості, які можуть бути пропущені людським аналізом.

Автоматизоване виявлення аномальних шляхів: системи штучного інтелекту допомагають ідентифікувати сценарії атак у крайніх випадках, доповнюючи людську перевірку і розширюючи її охоплення.

Багаторівнева перевірка: ручна перевірка і автоматичне тестування проводяться одночасно, а кожне оновлення коду піддається постійним перевіркам безпеки, а не лише перед релізом.

Крім того, V4 побудована за «центрально-радіальним» архітектурним принципом, що допомагає зменшити загальну площу атаки протоколу і знизити ризик використання поширених вразливостей DeFi на структурному рівні.

Інвестиційний бар’єр: що означає нульова кількість вразливостей

У контексті частих інцидентів у сфері DeFi, значення аудиту від Aave Labs полягає не лише у технічних аспектах. Інвестиція у безпеку у розмірі 1,5 мільйона доларів є відносно невеликою у порівнянні з загальним TVL протоколу, але вона посилає чіткий сигнал довіри — для інституційних інвесторів, які мають сумніви щодо потенційних ризиків смарт-контрактів, результати відкритого конкурсу без вразливостей є важливим фактором для прийняття рішення.

Основний тест V4 — це період після запуску в основній мережі. Якщо протягом перших місяців роботи не виникне серйозних інцидентів, це може сприяти залученню капіталу, який раніше був обережним через ризики атак.

Питання та відповіді

Як складається вартість аудиту V4 на 1,5 мільйона доларів?
Вартість включає оплату послуг чотирьох компаній — ChainSecurity, Trail of Bits, Blackthorn і Certora — а також нагороди і платформи для відкритого конкурсу на Sherlock. Загалом цей проект тривав 345 днів і є одним із найбільших у сфері DeFi за масштабами інвестицій у безпеку.

Яку роль відіграють «інваріанти» Certora у безпеці V4?
Інваріанти — це математичні правила, які визначають логічні умови, що код має виконувати у будь-яких ситуаціях. Перед ручною перевіркою код V4 проходить автоматичне формальне доведення, що гарантує відповідність цим правилам і виключає певні категорії логічних помилок.

Як «центрально-радіальна» архітектура знижує ризики у DeFi?
Замість складних взаємозалежних модулів, що можуть спричинити ланцюгові реакції при вразливостях, ця архітектура чітко розділяє функціональні компоненти і концентрує основну логіку у захищеному «центрі». Це зменшує площу атаки і підвищує стійкість протоколу до складних міжмодульних атак.