Aaveチームは、V4アップグレードを通じてSherlockと協力し、Blackthornと共同で行う多段階の監査、36万5千ドルの監査コンテスト、そしてローンチ後のライブコードを対象としたバグバウンティプログラムの三つのフェーズを実施しています。Aaveの歴史の中で最も重要なアーキテクチャの変革の一つにおいて、セキュリティのカバレッジは事前のレビューにとどまりません。展開からライブ運用まで継続して行われます。
@aaveチームは、V4アップグレードにおいてSherlockと協力し、Blackthornとの多段階の共同監査、36万5千ドルの監査コンテスト、そしてローンチ後のライブコードを守るバグバウンティを実施しました。Aaveの歴史の中で最も大きなアーキテクチャの変化の一つにおいて、セキュリティのカバレッジは事前のレビューだけにとどまりません。展開とライブ運用にわたって継続されます。
— SHERLOCK (@sherlockdefi) 2026年3月19日
V4にこのレベルのカバレッジが必要な理由
Aave V4は、ハブ・スピークアーキテクチャと新しいリスクプレミアムシステムを導入します。これらは既存のコードに対する段階的な変更ではありません。プロトコルが流動性をルーティングし、リスクを価格付けする方法を根本的に再設計したものです。
新しいアーキテクチャは新たな攻撃面を生み出し、数十億ドルのユーザ資金を扱うプロトコルにおいては、見逃しのリスクはほぼゼロに近い状態です。
Sherlockは、特に新規の部分に深く入り込むために導入されます。標準的な監査は既存のものをカバーしますが、V4に必要なのは、新しいコンポーネントが何をすべきか、その相互作用、そして従来の監査フレームワークでは捉えきれなかった新たな設計の露出箇所を理解できるカバレッジです。
三つのフェーズ、一つの継続的なセキュリティ層
Blackthornとの多段階の共同監査が基盤を形成します。一度きりのレビューではなく、早期の発見を後の範囲に反映させる構造です。V4のコンポーネントが進化し統合されるにつれて、監査プロセスは適応し、コードベースを完成品として扱いません。
36万5千ドルの監査コンテストは、資金的な関心を持つ独立したセキュリティ研究者の広範な参加を促します。コンテスト型の監査は、従来の企業監査では見逃されがちな問題を浮き彫りにします。インセンティブは、チェックリストを完了させることではなく、実際の脆弱性を見つけることにあります。
この賞金額は、真剣に取り組む研究者を引きつけるのに十分な規模です。彼らは副業ではなく、専門的な仕事として取り組みます。
バグバウンティプログラムは、ローンチ後もカバレッジを拡大します。これは、多くの監査プロセスが完全にスキップする部分です。事前のレビューを通過したコードも、実世界の条件や新しい取引パターン、相互作用シナリオに直面します。ライブのバグバウンティは、責任ある開示に対する経済的インセンティブを維持し、セキュリティ層がユーザがV4と相互作用し始めた瞬間に消滅しないことを保証します。
ハブ・スピークアーキテクチャとその焦点の理由
ハブ・スピークモデルは、V4を従来のAaveバージョンと根本的に異ならせる核心です。特定のプロトコル機能をハブレベルで集中させつつ、個々の市場はスピークとして独自のパラメータを持って運用します。
リスクプレミアムシステムは、その上に位置し、各資産や市場設定のリスクプロファイルに基づいて借入コストを動的に調整します。
これらのコンポーネントは新しいため、過去の監査履歴はありません。Sherlockがこれらに焦点を当てるのは、最も新しく最も複雑なコードが最も残留リスクを伴い、その部分に独立した精査が必要だからです。Blackthornとの共同作業により、両者はコンポーネントの発見を相互にクロスチェックし、単一のレビュアーの盲点が重大な結果をもたらすリスクを軽減します。
フルライフサイクルのセキュリティとは何か
Sherlockのモデルは、ポイントインタイムの監査を超えた設計です。Aave V4の三段階構造は、その実例です。開発段階から始まり、事前の競争的レビューで強化され、その後もライブ運用において継続的にバウンティインセンティブを通じて監視します。
Aaveの規模において、このアプローチは、セキュリティの失敗が実際に起こる場所についての現実的な見解を反映しています。事前監査は多くを捕らえますが、すべてを捕らえるわけではありません。
専門監査、クラウドソースのコンテスト、そしてローンチ後のバウンティの組み合わせは、異なる失敗モードを異なる段階でカバーする重層的な防御層を形成します。
結論
Aave V4とSherlockのセキュリティプロセスは、モデルとして注目に値します。三つのフェーズ、二つは事前、ひとつは事後で、専門家のレビュー、公開コンテスト、ライブ監視を組み合わせて、最もアーキテクチャ的に革新的なコンポーネントをカバーします。本当に新しいインフラを展開するプロトコルにとって、これは実際のリスクプロファイルに見合ったカバレッジです。
