Команда Aave сотрудничает с Sherlock на протяжении трех этапов обновления V4: многоэтапного совместного аудита вместе с Blackthorn, конкурса на аудит с призовым фондом в 365 000 долларов и постоянной программы поиска уязвимостей (bug bounty) для защиты живого кода после запуска. Для одного из самых значительных архитектурных изменений в истории Aave уровень безопасности не ограничивается предварительным обзором. Он продолжается на этапе развертывания и в процессе работы системы.
@aave команда сотрудничает с Sherlock на протяжении трех основных этапов обновления V4: многоэтапного совместного аудита с Blackthorn, конкурса на аудит с призовым фондом в 365 000 долларов и программы поиска уязвимостей для защиты живого кода после запуска. Для одного из крупнейших архитектурных сдвигов в истории Aave… pic.twitter.com/oqTzMLJBnG
— SHERLOCK (@sherlockdefi) 19 марта 2026 г.
Почему V4 нуждается в таком уровне защиты
Aave V4 вводит архитектуру Hub-and-Spoke вместе с новой системой риск-премий. Это не просто постепенные изменения в существующем коде. Они представляют собой фундаментальную переработку маршрутизации ликвидности и оценки рисков на рынках протокола.
Новая архитектура означает новые поверхности для атак, а протокол, обрабатывающий миллиарды пользовательских средств, с такими уязвимостями — это практически нулевая допустимая вероятность пропуска проблем.
Sherlock специально привлекается для более глубокого анализа новых компонентов V4. Стандартный аудит охватывает существующий код. Для V4 Aave необходима защита, которая понимает назначение новых элементов, их взаимодействие с наследуемым кодом и выявляет уязвимости, связанные с новым дизайном, которые предыдущие системы аудита не могли обнаружить.
Три этапа, одна непрерывная система безопасности
Многоэтапный совместный аудит с Blackthorn формирует основу. Вместо однократного обзора структура позволяет результаты ранних этапов влиять на объем работы последующих. По мере развития и интеграции компонентов V4 процесс аудита адаптируется, а не рассматривает код как завершенный продукт.
Конкурс на аудит с призовым фондом в 365 000 долларов открывает код для более широкого круга независимых исследователей по безопасности, заинтересованных в финансовом результате. Такой подход к аудиту выявляет проблемы, которые традиционные фирмы-аудиторы часто пропускают, поскольку стимулы поощряют поиск реальных уязвимостей, а не выполнение чек-листа.
Призовой фонд в 365 000 долларов достаточно велик, чтобы привлечь серьезных исследователей, рассматривающих это как профессиональную работу, а не побочный проект.
Программа поиска уязвимостей расширяет защиту за пределы даты запуска. Это часть, которую большинство аудитов игнорируют. Код, прошедший предварительный обзор, все равно сталкивается с реальными условиями, новыми сценариями транзакций и взаимодействий, которые невозможно полностью предсказать. Постоянная программа bug bounty поддерживает финансовый стимул для ответственного раскрытия уязвимостей после развертывания, что означает, что уровень безопасности не исчезает в момент начала взаимодействия пользователей с V4.
Архитектура Hub-and-Spoke и почему она важна
Модель Hub-and-Spoke — это основа архитектурных отличий V4 от предыдущих версий Aave. Она централизует определенные функции протокола в «хабе», позволяя отдельным рынкам функционировать как «спицы» с собственными параметрами.
Система риск-премий располагается поверх этой архитектуры и динамически регулирует стоимость заимствования в зависимости от конкретного профиля риска каждого актива и конфигурации рынка.
Оба компонента достаточно новые, чтобы не иметь истории предыдущих аудитов. Фокус Sherlock на этих областях отражает простое правило безопасности: самый новый и сложный код несет наибольший остаточный риск, и именно в нем необходимо сосредоточить независимый контроль. Совместная работа с Blackthorn позволяет обеим компаниям проверять результаты друг друга в компонентах, где слепые зоны одного аудитора могут иметь серьезные последствия.
Что означает полноценный цикл безопасности
Модель Sherlock выходит за рамки однократных аудитов по времени. Трехэтапная структура на примере Aave V4 показывает, как это реализуется на практике: защита начинается на этапе разработки, усиливается на этапе предзапуска через конкурентный обзор и продолжается в реальной эксплуатации с помощью постоянных программ поиска уязвимостей.
Для протокола масштаба Aave такой подход — это реалистичный взгляд на то, где действительно происходят сбои в безопасности. Предзапусковые аудиты выявляют много проблем, но не все.
Комбинация профессионального аудита, краудсорсингового конкурса и постзапусковой программы поиска уязвимостей создает перекрывающиеся уровни защиты, охватывающие разные сценарии сбоев на различных этапах жизненного цикла протокола.
Заключение
Процесс обеспечения безопасности Aave V4 с Sherlock заслуживает внимания как пример модели. Три этапа: два — до запуска и один — после, охватывающие наиболее архитектурно новые компоненты протокола с помощью экспертных обзоров, открытых конкурсов и постоянного мониторинга. Для протоколов, внедряющих действительно новую инфраструктуру, такой уровень защиты соответствует реальному профилю рисков.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
