Aave 團隊在 V4 升級過程中與 Sherlock 合作,分為三個不同階段:與 Blackthorn 共同進行的多階段協作審計、價值 36.5 萬美元的審計比賽,以及在發布後持續進行的漏洞賞金計劃,涵蓋實時代碼。對於 Aave 歷史上最重要的架構變革之一,安全保障不僅止於發布前的審查,而是貫穿部署到實時運營的整個過程。
@aave 團隊在 V4 升級中與 Sherlock 合作,經歷了三個主要階段:與 Blackthorn 進行的多階段協作審計、36.5萬美元的審計比賽,以及發布後的漏洞賞金,以保護實時代碼。對於 Aave 歷史上最大的一次架構轉變之一…… pic.twitter.com/oqTzMLJBnG
— SHERLOCK (@sherlockdefi) 2026年3月19日
為何 V4 需要如此層級的保障
Aave V4 引入了中心-輻射架構(Hub-and-Spoke)以及全新的風險溢價系統。這些並非對現有代碼的漸進式改變,而是對協議如何在各市場中路由流動性和定價風險的根本性重塑。
新架構意味著新的攻擊面,而在處理數十億用戶資金的協議中,新的攻擊面幾乎沒有容錯空間。
Sherlock 專門針對 V4 中全新部分進行深入審查。標準審計主要覆蓋現有內容,而 Aave 需要的是能理解新組件應該做什麼、它們如何與遺留代碼互動,以及新設計在哪些方面可能暴露風險、而傳統審計框架未能捕捉的保障。
三階段,一層連續的安全保障
與 Blackthorn 的多階段協作審計奠定了基礎。這不是一次性審查,而是讓早期階段的發現能影響後續範圍。隨著 V4 組件的開發與整合,審計流程會調整,而非將代碼視為已完成的產物。
36.5萬美元的審計比賽開放給更廣泛的獨立安全研究人員,這些研究人員在經濟上有利害關係。比賽式審計經常能發現傳統公司審計遺漏的問題,因為激勵結構鼓勵找到真正的漏洞,而非完成清單。
以36.5萬美元的獎金池,能吸引認真對待此事的專業研究人員,他們將此視為專業任務而非副業。
漏洞賞金計劃則將保障範圍延伸至發布後。這是大多數審計流程完全忽略的部分。通過預發布審查的代碼仍需面對現實世界的條件、新的交易模式和交互場景,沒有任何審計能完全預料。實時漏洞賞金激勵負責任的披露,確保安全層在部署後仍持續有效,並不會因用戶開始與 V4 互動而失效。
中心-輻射架構及其焦點
中心-輻射模型是 V4 在架構上與前幾個版本的核心差異。它將某些協議功能集中在一個中心點,同時允許各個市場作為輻射點運作,擁有自己的參數。
風險溢價系統則在此基礎上動態調整借款成本,根據每個資產和市場配置的風險特徵。
這兩個組件都較新,沒有先前的審計歷史可供參考。Sherlock 專注於這些區域,反映一個簡單的安全原則:最新且最複雜的代碼具有最高的剩餘風險,獨立審查的重點也應在此。與 Blackthorn 的合作能讓雙方交叉檢查,避免單一審查者的盲點帶來嚴重後果。
完整生命週期安全的意義
Sherlock 的模型超越了點時點的審計。Aave V4 的三階段結構就是實踐範例:從開發階段開始的保障、在預發布階段通過競爭審查加強,並持續到實時運營中的持續獎金激勵。
對於像 Aave 這樣規模的協議,這種方法反映了安全失誤實際發生的現實:預發布審計能捕捉很多問題,但並非全部。
專業審計、群眾比賽和發布後的獎金相互交疊,形成多層保障,涵蓋協議生命週期中不同階段的不同失效模式。
結論
Aave V4 與 Sherlock 的安全流程值得作為範例。三個階段,兩個在發布前,一個在發布後,針對協議最具架構創新性的組件,結合專家審查、公開競賽與實時監控。對於推出全新基礎設施的協議,這種保障方式能與實際風險相匹配。
