Aave Labs schlägt ein spezielles Bug-Bounty-Programm für Aave V4 mit Sherlock vor

• Aave Labs hat einen Vorschlag für ein spezielles Bug-Bounty-Programm veröffentlicht, das einen 24/7-Kanal zur Meldung von Sicherheitsproblemen vorsieht.
• Hochprioritäre Einreichungen erfordern, dass die Teilnehmer mindestens 250 USDC setzen, die bei ungültiger oder als Spam eingestufter Meldung verfällt.

Aave Labs hat einen Vorschlag zur Einführung eines neuen dedizierten Bug-Bounty-Programms für sein v4 auf Sherlocks Sicherheitsplattform für DeFi-Protokolle veröffentlicht. Der Vorschlag zielt darauf ab, einen Kanal einzurichten, um Sicherheitsbedenken auf der DeFi-Plattform zu melden, während das Protokoll auf die vierte Version (v4) umgestellt wird. Die Labs geben an, dass Sherlock mit der Community zusammengearbeitet hat, um das aktuelle v3-Protokoll zu prüfen, und es für frühe Tests von v4 genutzt wurde. Dies führt zu gemeinsamen Melstandards und Eskalationswegen für alle Beteiligten. Gründer Stani Kulechov bemerkte, dass Bug-Bounties ein wichtiger Bestandteil der Sicherheitsstrategie des Netzwerks sind. Er lobte auch das Sherlock-Team für seine Expertise bei der Verwaltung früherer Bug-Bounty-Programme und Sicherheitswettbewerbe.

Wir schlagen vor, das Aave V4 Bug-Bounty-Programm mit Sherlock zu starten. Bug-Bounties sind seit langem ein wichtiger Teil von Aaves Sicherheitsstrategie, und das Sherlock-Team hat seine Kompetenz bei der Verwaltung sowohl von Sicherheitswettbewerben als auch von Bug-Bounty-Programmen unter Beweis gestellt. https://t.co/azjjaV7fIZ

— Stani.eth (@StaniKulechov) 5. März 2026

Sherlock zeigte sich unterstützend für das vorgeschlagene Programm und fügte hinzu: „Rund-um-die-Uhr-Abdeckung, strukturierte Triage und klare Eskalation für Hochrisikoberichte, während V4 ausgerollt und skaliert wird. Aaves Engagement für Sicherheit bleibt konstant.“ Aave’s 250 USDC Einsatz gegen Spam Das Bug-Bounty-Programm ist auf die Aave v4 Repositories und implementierte Verträge beschränkt. Eine Erweiterung oder Migration anderer Programme würde eine separate Governance-Umfrage erfordern. Teilnehmer können beliebig mittel- oder niedrigprioritäre Einreichungen vorlegen. Sie können diese jedoch nicht auf eine höhere Stufe hochstufen, auch wenn sie den Umfang erweitern, um sicherzustellen, dass sie der ursprünglichen Klassifikation genügend Aufmerksamkeit schenken. Hoch- und kritische Prioritäten, die höhere Auszahlungen erhalten, sind auf Nutzer beschränkt, die 250 USDC setzen. Wenn die Meldung gültig ist, wird der Einsatz zusammen mit der Auszahlung zurückgegeben. Bei ungültiger Meldung verfällt der Einsatz, um die Triage-Kosten zu decken. Ziel ist es, Spam zu verhindern, bei dem Teilnehmer alle Meldungen als hochprioritär einstufen, um eine höhere Auszahlung zu erzielen. Für hochprioritäre Meldungen werden die zuständigen Sicherheitsteams von Aave sofort via Telegram und Slack benachrichtigt, um umgehend zu reagieren. Die niedrigprioritären Meldungen werden von einem KI-Programm zusammen mit menschlichen Prüfern bewertet. Nur die als hochwertiger eingeschätzten Berichte werden zur Überprüfung eingereicht.

Bild mit freundlicher Genehmigung von Aave Labs.

Aave Labs gab zu, dass die 250 USDC-Einlage gegen Spam helfen wird, aber einige echte Forscher möglicherweise abschrecken könnte, Sicherheitsprobleme mit hoher Priorität zu melden. Um dies abzumildern, plant man, die mittlere Prioritätsstufe kostenlos zu halten und erfahrene Forscher in dieser Stufe zu priorisieren. Es wurde auch anerkannt, dass die Sperrung der Neuklassifizierung von mittleren Meldungen zu hohen Prioritäten Missklassifizierungen bestrafen würde. Es soll eine umfangreiche Anleitung als Teil der Programmlaunch-Materialien veröffentlicht werden. Der Vorschlag kommt einige Wochen nach einem Streit zwischen Aave Labs und BGD Labs, bei dem letzteres Ende dieses Monats seinen Rückzug ankündigte. BGD, das vom Aave DAO beauftragt wurde, Sicherheits- und technische Fragen zu betreuen, sagt, dass die Labs seine Bemühungen, das Protokoll voranzutreiben, behindert haben.