Aave V4 Parceria com Sherlock para um Processo de Segurança em Três Fases e um Concurso de Auditoria $365K

A equipa da Aave faz parceria com a Sherlock na atualização V4 através de três fases distintas: uma auditoria colaborativa em múltiplas etapas realizada juntamente com a Blackthorn, um concurso de auditoria de $365.000 e um programa contínuo de recompensas por bugs que cobre o código ao vivo após o lançamento. Para uma das mudanças arquitetónicas mais significativas na história da Aave, a cobertura de segurança não termina na revisão pré-lançamento. Ela estende-se até à implementação e às operações ao vivo.

A equipa @aave colaborou com a Sherlock na atualização V4 através de três fases principais: uma auditoria colaborativa em múltiplas etapas com a Blackthorn, um concurso de auditoria de $365K e um programa de recompensas por bugs para proteger o código ao vivo após o lançamento. Para uma das maiores mudanças arquitetónicas na história da Aave,… pic.twitter.com/oqTzMLJBnG

— SHERLOCK (@sherlockdefi) 19 de março de 2026

Por que a V4 necessita deste nível de cobertura

Aave V4 introduz uma arquitetura Hub-and-Spoke juntamente com um novo sistema de prémio de risco. Estas não são mudanças incrementais ao código existente. Representam uma reformulação fundamental de como o protocolo encaminha liquidez e avalia riscos nos seus mercados.

Nova arquitetura significa novas superfícies de ataque, e uma nova superfície de ataque num protocolo que gere bilhões em fundos de utilizadores significa que a margem para problemas não detectados é praticamente zero.

A Sherlock é especificamente envolvida para aprofundar as partes da V4 que são totalmente novas. Uma auditoria padrão cobre o que existe. O que a Aave precisa para a V4 é uma cobertura que compreenda o que os novos componentes devem fazer, como interagem com o código legado e onde o design inovador cria exposições que os frameworks de auditoria anteriores não estavam preparados para detectar.

Três fases, uma camada de segurança contínua

A auditoria colaborativa em múltiplas etapas com a Blackthorn forma a base. Em vez de uma revisão de uma só passagem, a estrutura permite que as descobertas das fases iniciais informem o escopo das fases seguintes. À medida que os componentes da V4 evoluem e se integram, o processo de auditoria adapta-se, em vez de tratar o código como uma arte finalizada.

O concurso de auditoria de $365.000 abre o código a um campo mais amplo de investigadores de segurança independentes com interesse financeiro. Auditorias baseadas em concursos revelam consistentemente problemas que auditorias tradicionais de empresas não detectam, porque a estrutura de incentivos recompensa a descoberta de vulnerabilidades reais, em vez de completar uma lista de verificação.

Com um prémio de $365.000, o montante é suficientemente grande para atrair investigadores sérios que o tratam como um compromisso profissional, e não como uma atividade secundária.

O programa de recompensas por bugs estende a cobertura além da data de lançamento. Esta é a parte que a maioria dos processos de auditoria ignora completamente. Código que passa na revisão pré-lançamento ainda enfrenta condições do mundo real, padrões de transação inovadores e cenários de interação que nenhuma auditoria consegue antecipar totalmente. Um programa de recompensas ao vivo mantém o incentivo financeiro para a divulgação responsável ativo após o deployment, o que significa que a camada de segurança não expira no momento em que os utilizadores começam a interagir com a V4.

A arquitetura Hub-and-Spoke e por que ela é o foco

O modelo Hub-and-Spoke é o núcleo do que torna a V4 arquitetonicamente diferente das versões anteriores da Aave. Centraliza certas funções do protocolo num hub, enquanto permite que mercados individuais operem como raios com seus próprios parâmetros.

O sistema de prémio de risco está sobreposto a isso, ajustando dinamicamente os custos de empréstimo com base no perfil de risco específico de cada ativo e configuração de mercado.

Ambos os componentes são suficientemente novos que não há histórico de auditoria anterior para consultar. O foco da Sherlock nessas áreas reflete um princípio de segurança direto: o código mais novo e mais complexo carrega o maior risco residual, e é aí que a fiscalização independente deve concentrar-se. O trabalho colaborativo com a Blackthorn permite que ambas as empresas verifiquem mutuamente as descobertas em componentes onde as cegas de um único revisor poderiam ter consequências reais.

O que significa segurança ao longo de todo o ciclo de vida

O modelo da Sherlock vai além de auditorias pontuais por design. A estrutura de três fases na Aave V4 é um exemplo de como isso funciona na prática: cobertura que começa durante o desenvolvimento, intensifica-se na fase pré-lançamento através de revisão competitiva, e continua nas operações ao vivo através de incentivos contínuos de recompensas.

Para um protocolo do tamanho da Aave, essa abordagem reflete uma visão realista de onde as falhas de segurança realmente acontecem. Auditorias pré-lançamento detectam muitas coisas, mas não tudo.

A combinação de auditoria profissional, concurso de crowdsourcing e recompensas pós-lançamento cria camadas sobrepostas que cobrem diferentes modos de falha em diferentes fases do ciclo de vida do protocolo.

Conclusão

O processo de segurança da Aave V4 com a Sherlock é um modelo a seguir. Três fases, duas pré-lançamento e uma pós-lançamento, cobrindo os componentes mais inovadores do ponto de vista arquitetónico com uma combinação de revisão especializada, competição aberta e monitorização ao vivo. Para protocolos que implementam infraestruturas realmente novas, é o tipo de cobertura que corresponde ao perfil de risco real do que está a ser implementado.