Aave V4 arbeitet mit Sherlock für einen dreiphasigen Sicherheitsprozess und einen $365K Audit Contest zusammen

Das Aave-Team arbeitet bei der V4-Upgrade-Phase mit Sherlock in drei klar abgegrenzten Phasen zusammen: einer mehrstufigen gemeinsamen Prüfung mit Blackthorn, einem Audit-Wettbewerb im Wert von 365.000 US-Dollar und einem laufenden Bug-Bounty-Programm, das den Live-Code nach dem Start absichert. Bei einer der bedeutendsten architektonischen Änderungen in der Geschichte von Aave endet die Sicherheitsabdeckung nicht bei der Vorab-Überprüfung. Sie erstreckt sich über die Bereitstellung hinaus bis in den Live-Betrieb.

Das @aave-Team arbeitete bei der V4-Upgrade-Phase in drei Hauptabschnitten mit Sherlock zusammen: einer mehrstufigen gemeinsamen Prüfung mit Blackthorn, einem Audit-Wettbewerb im Wert von 365.000 US-Dollar und einem Bug-Bounty-Programm zum Schutz des Live-Codes nach dem Start. Für eine der größten architektonischen Veränderungen in der Geschichte von Aave… pic.twitter.com/oqTzMLJBnG

— SHERLOCK (@sherlockdefi) 19. März 2026

Warum V4 dieses Maß an Sicherheitsabdeckung benötigt

Aave V4 führt eine Hub-and-Spoke-Architektur sowie ein neues Risikoprämien-System ein. Diese Änderungen sind keine inkrementellen Anpassungen am bestehenden Code. Sie stellen eine grundlegende Neugestaltung dar, wie das Protokoll Liquidität verteilt und Risiken in den Märkten bewertet.

Neue Architektur bedeutet neue Angriffsflächen, und bei einem Protokoll, das Milliarden an Nutzerfonds verwaltet, ist die Toleranz für unbeachtete Schwachstellen praktisch null.

Sherlock wird speziell hinzugezogen, um bei den völlig neuen Komponenten von V4 tiefergehende Analysen durchzuführen. Ein Standard-Audit deckt, was bereits existiert. Was Aave für V4 benötigt, ist eine Abdeckung, die versteht, was die neuen Komponenten tun sollen, wie sie mit Alt-Code interagieren und wo das innovative Design potenzielle Schwachstellen schafft, die frühere Prüfungsrahmen nicht erfassen konnten.

Drei Phasen, eine kontinuierliche Sicherheitsschicht

Die mehrstufige gemeinsame Prüfung mit Blackthorn bildet die Grundlage. Anstatt einer einmaligen Überprüfung ermöglicht diese Struktur, dass Erkenntnisse aus frühen Phasen den Umfang späterer Prüfungen beeinflussen. Während sich die Komponenten von V4 entwickeln und integrieren, passt sich der Prüfprozess an, anstatt den Code als fertiges Produkt zu behandeln.

Der Audit-Wettbewerb im Wert von 365.000 US-Dollar öffnet den Code für eine breitere Gruppe unabhängiger Sicherheitsexperten, die finanziell engagiert sind. Wettbewerbsbasierte Audits decken konsequent Probleme auf, die traditionelle Firmen-Audits übersehen, weil die Anreizstruktur darin besteht, echte Schwachstellen zu finden, anstatt eine Checkliste abzuarbeiten.

Mit 365.000 US-Dollar ist der Preispool groß genug, um ernsthafte Forscher anzuziehen, die es als professionelle Aufgabe betrachten, nicht nur als Nebenbeschäftigung.

Das Bug-Bounty-Programm erweitert die Abdeckung über den Starttermin hinaus. Dieser Teil wird in den meisten Prüfungsprozessen vollständig übersprungen. Code, der die Vorab-Überprüfung besteht, ist immer noch realen Bedingungen, neuen Transaktionsmustern und Interaktionsszenarien ausgesetzt, die kein Audit vollständig vorhersagen kann. Ein Live-Bug-Bounty hält den finanziellen Anreiz für verantwortungsvolle Offenlegung nach der Implementierung aufrecht, was bedeutet, dass die Sicherheitsschicht nicht mit dem Moment endet, in dem Nutzer mit V4 interagieren.

Warum die Hub-and-Spoke-Architektur im Fokus steht

Das Hub-and-Spoke-Modell ist das Kernstück dessen, was V4 architektonisch von früheren Aave-Versionen unterscheidet. Es zentralisiert bestimmte Protokollfunktionen an einem Hub, während einzelne Märkte als Spokes mit eigenen Parametern operieren.

Das Risikoprämien-System sitzt darüber und passt die Kreditkosten dynamisch an das spezifische Risikoprofil jedes Vermögenswerts und jeder Marktkonfiguration an.

Beide Komponenten sind neu genug, dass es keine vorherige Audit-Historie gibt, auf die man zurückgreifen könnte. Sherocks Fokus auf diese Bereiche spiegelt ein einfaches Sicherheitsprinzip wider: Der neueste und komplexeste Code trägt das höchste Restrisiko, und genau dort muss unabhängige Prüfung konzentriert werden. Die Zusammenarbeit mit Blackthorn ermöglicht es beiden Firmen, Erkenntnisse bei Komponenten zu überprüfen, bei denen die blinden Flecken eines einzelnen Prüfers ernsthafte Konsequenzen haben könnten.

Was vollständige Lebenszyklus-Sicherheit wirklich bedeutet

Sherlocks Modell geht über punktuelle Audits hinaus. Die dreistufige Struktur bei Aave V4 ist ein Beispiel dafür, wie das in der Praxis aussieht: Abdeckung, die während der Entwicklung beginnt, sich im Vorbereitungsstadium durch einen wettbewerbsorientierten Review intensiviert und dann in den Live-Betrieb durch laufende Bounty-Anreize übergeht.

Für ein Protokoll in Aaves Größenordnung spiegelt dieser Ansatz eine realistische Einschätzung wider, wo Sicherheitsfehler tatsächlich auftreten. Vorab-Audits erfassen viel, aber nicht alles.

Die Kombination aus professionellem Audit, crowdsourced-Wettbewerb und Post-Launch-Bounty schafft sich überschneidende Schichten, die verschiedene Ausfallmodi in unterschiedlichen Phasen des Protokolllebenszyklus abdecken.

Fazit

Der Sicherheitsprozess von Aave V4 mit Sherlock ist ein Vorbild, das Beachtung verdient. Drei Phasen, zwei vor dem Start und eine nach dem Start, die die architektonisch innovativsten Komponenten des Protokolls durch eine Kombination aus Expertenreview, offenem Wettbewerb und Live-Überwachung abdecken. Für Protokolle, die wirklich neue Infrastruktur bereitstellen, ist diese Art der Abdeckung notwendig, um dem tatsächlichen Risikoprofil gerecht zu werden.