Aave Labs presenta un plan de seguridad por capas para V4 tras un programa de auditoría de 1,5 millones de dólares

Aave Labs ha publicado un esquema detallado para asegurar la próxima versión del mayor protocolo de préstamos DeFi, describiendo un proceso de auditoría y verificación de un año para Aave V4 y comprometiéndose a extender esas prácticas en los futuros desarrollos.

En una publicación en el foro de gobernanza lanzada esta semana, la empresa describió el esfuerzo de V4 como un "marco centrado en la seguridad", donde las protecciones de los contratos inteligentes se incorporaron desde las primeras etapas arquitectónicas en lugar de tratarse únicamente como una auditoría final previa al lanzamiento.

El programa combinó verificación formal, auditorías manuales, pruebas invariantes, fuzzing y un concurso público de seguridad, sumando aproximadamente 345 días acumulados de revisión entre equipos internos, auditores externos e investigadores independientes.

El trabajo fue financiado a través de un presupuesto de seguridad de $1.5 millones ratificado por el Aave DAO, según los detalles compartidos.

Compromisos clave

Aave Labs indicó que la experiencia lo ha llevado a adoptar cinco compromisos de seguridad a largo plazo para el desarrollo futuro del protocolo.

Incorporar la verificación formal desde el inicio de los ciclos de desarrollo, mantener metodologías de seguridad por capas que combinen múltiples técnicas de auditoría, realizar verificación continua junto con el desarrollo, lanzar un programa permanente de recompensas por errores, y continuar desarrollando el escaneo de contratos inteligentes asistido por IA, fueron todos listados como compromisos clave hacia adelante.

La verificación formal, en particular, jugó un papel central en el proceso de V4, según Labs. La firma de verificación Certora trabajó junto a los desarrolladores de Aave desde las primeras etapas de diseño, ayudando a dar forma a la arquitectura e identificar vulnerabilidades antes de que el código entrara en las rondas de auditoría formal.

Más allá de la verificación formal, el protocolo también pasó por múltiples rondas de auditoría manual con firmas como ChainSecurity, Trail of Bits y Blackthorn, así como investigadores de seguridad independientes. Se desarrolló un conjunto separado de pruebas invariantes utilizando herramientas de fuzzing para probar el comportamiento de componentes clave como la contabilidad de liquidez, la lógica de liquidación y los modelos de tasas de interés.

La base de código del protocolo también fue sometida a un concurso público de seguridad de seis semanas organizado en Sherlock entre diciembre de 2025 y enero de 2026. Más de 900 participantes verificados enviaron más de 950 hallazgos durante el concurso, aunque el programa no reportó vulnerabilidades críticas o de alta gravedad.

Aave Labs señaló que la propia base de código de V4 fue diseñada intencionalmente para ser más pequeña y modular que su predecesora, siguiendo el rediseño de la arquitectura hub-and-spoke del protocolo, permitiendo auditorías más específicas y una revisión de seguridad simplificada.

El modelo de seguridad de V4 también incorporó comentarios de proveedores de servicios de riesgo e integradores que construyen aplicaciones sobre el protocolo de préstamos. Su aporte expandió el modelo de amenazas para incluir no solo interacciones directas de usuarios, sino también las suposiciones de seguridad de los sistemas integrados que dependen de la liquidez de Aave.

Conflicto en Aave DAO

La divulgación de seguridad de Aave Labs llega en un periodo de turbulencias internas para el ecosistema Aave. Las disputas de gobernanza se han intensificado en los últimos meses sobre asignaciones de fondos, dirección del protocolo y el papel de los contribuyentes clave.

Este año, BGD Labs — un contribuyente técnico de largo tiempo responsable de partes importantes de la infraestructura del protocolo — anunció planes para dejar de trabajar en Aave después de aproximadamente cuatro años de participación.

Más recientemente, el fundador de ACI, Marc Zeller, dijo que la Aave Chan Initiative, otro participante importante en la gobernanza, planea retirarse del protocolo en julio debido a tensiones crecientes entre los contribuyentes.

Estos desarrollos siguieron a un debate de gobernanza polémico sobre una propuesta conocida como "Aave will win," que incluía cambios en los ingresos y planes generales para la próxima actualización V4. La propuesta pasó una votación de control de temperatura con un 52.6% de apoyo, resaltando divisiones dentro del DAO sobre la dirección futura del protocolo.

Aave es el mayor protocolo de préstamos onchain, y uno de los principales generadores de tarifas mensuales en DeFi, según el panel de datos de The Block.