Aave Labs presenta un plan de seguridad en capas para V4 tras un programa de auditoría de $1.5 millones

Aave Labs ha publicado un plan detallado para asegurar la próxima versión del mayor protocolo de préstamos DeFi, describiendo un proceso de auditoría y verificación que durará un año para Aave V4 y comprometiéndose a extender esas prácticas a futuros desarrollos.

En una publicación en el foro de gobernanza publicada esta semana, la empresa describió el esfuerzo de V4 como un "marco de seguridad primero", donde las protecciones de los contratos inteligentes se integraron desde las primeras fases arquitectónicas en lugar de tratarlas simplemente como una auditoría previa al lanzamiento.

El programa combinó verificación formal, auditorías manuales, pruebas de invariantes, fuzzing y un concurso público de seguridad, sumando aproximadamente 345 días de revisión en total por parte de equipos internos, auditores externos e investigadores independientes.

El trabajo fue financiado mediante un presupuesto de seguridad de $1.5 millones ratificado por la Aave DAO, según los detalles compartidos.

Compromisos clave

Aave Labs afirmó que la experiencia los ha llevado a adoptar cinco compromisos de seguridad a largo plazo para el desarrollo futuro del protocolo.

Integrar la verificación formal desde el inicio de los ciclos de desarrollo, mantener metodologías de seguridad en capas que combinen múltiples técnicas de auditoría, ejecutar verificación continua junto con el desarrollo, lanzar un programa permanente de recompensas por errores y continuar desarrollando el escaneo de contratos inteligentes asistido por IA fueron todos destacados como compromisos clave de cara al futuro.

En particular, la verificación formal desempeñó un papel central en el proceso de V4, según Labs. La firma de verificación Certora trabajó junto a los desarrolladores de Aave desde las etapas más tempranas de diseño, ayudando a formar la arquitectura e identificar vulnerabilidades antes de que el código ingresara a las rondas formales de auditoría.

Además de la verificación formal, el protocolo también pasó por múltiples rondas de auditorías manuales con empresas como ChainSecurity, Trail of Bits y Blackthorn, así como con investigadores independientes de seguridad. Se desarrolló un conjunto separado de pruebas de invariantes utilizando herramientas de fuzzing para testar el comportamiento de componentes clave como la contabilización de la liquidez, la lógica de liquidación y los modelos de tasas de interés.

La base de código del protocolo también fue sometida a un concurso público de seguridad de seis semanas organizado en Sherlock entre diciembre de 2025 y enero de 2026. Más de 900 participantes verificados presentaron más de 950 hallazgos durante el concurso, aunque el programa no reportó vulnerabilidades críticas o de alta gravedad.

Aave Labs indicó que la propia base de código de V4 fue diseñada intencionadamente para ser más pequeña y modular que su predecesora, siguiendo el rediseño arquitectónico tipo hub-and-spoke del protocolo, permitiendo auditorías más específicas y una revisión de seguridad simplificada.

El modelo de seguridad de V4 también incorporó comentarios de proveedores de servicios de riesgo e integradores que construyen aplicaciones sobre el protocolo de préstamos. Su aportación amplió el modelo de amenaza para incluir no solo interacciones directas de usuarios, sino también las suposiciones de seguridad de los sistemas integrados que dependen de la liquidez de Aave.

Conflicto en Aave DAO

La divulgación de seguridad de Aave Labs llega en un periodo de turbulencia interna para el ecosistema Aave. Las disputas de gobernanza se han intensificado en los últimos meses sobre asignaciones de financiación, dirección del protocolo y el papel de contribuyentes clave.

Este año, BGD Labs —un colaborador técnico de larga data responsable de partes fundamentales de la infraestructura del protocolo— anunció planes para cesar el trabajo relacionado con Aave tras aproximadamente cuatro años de implicación.

Más recientemente, Marc Zeller, fundador de ACI, dijo que la Aave Chan Initiative, otro importante participante de gobernanza, planea alejarse del protocolo en julio en medio de crecientes tensiones entre contribuyentes.

Estos acontecimientos siguieron a un debate de gobernanza polémico sobre una propuesta conocida como "Aave will win", que describía cambios de ingresos y planes generales para la próxima actualización V4. La propuesta pasó una votación de comprobación de temperatura con un 52.6% de apoyo, resaltando divisiones dentro de la DAO sobre la dirección futura del protocolo.

Aave es el mayor protocolo de préstamos onchain, y uno de los principales generadores de tarifas mensuales DeFi, según los datos de The Block.