Aave Labs menguraikan rencana keamanan berlapis untuk V4 setelah program audit senilai $1,5 juta

Aave Labs telah menerbitkan cetak biru terperinci untuk mengamankan versi berikutnya dari protokol peminjaman DeFi terbesar, dengan menguraikan proses audit dan verifikasi selama satu tahun untuk Aave V4 serta berkomitmen untuk memperluas praktik tersebut ke pengembangan mendatang.

Dalam sebuah postingan forum tata kelola yang dirilis minggu ini, perusahaan menggambarkan upaya V4 sebagai "kerangka kerja yang mengutamakan keamanan", di mana perlindungan smart contract dibenamkan sejak tahap arsitektur paling awal, bukan hanya dianggap sebagai audit akhir sebelum peluncuran.

Program ini menggabungkan verifikasi formal, audit manual, pengujian invariant, fuzzing, dan kontes keamanan publik, dengan total sekitar 345 hari peninjauan kumulatif yang melibatkan tim internal, auditor eksternal, dan peneliti independen.

Pekerjaan ini didanai melalui anggaran keamanan sebesar $1,5 juta yang telah diratifikasi oleh Aave DAO, sesuai dengan detail yang dibagikan.

Komitmen Utama

Aave Labs mengatakan pengalaman tersebut telah mendorong mereka untuk mengadopsi lima komitmen keamanan jangka panjang untuk pengembangan protokol di masa depan.

Menyematkan verifikasi formal sejak awal siklus pengembangan, mempertahankan metodologi keamanan berlapis yang menggabungkan berbagai teknik audit, menjalankan verifikasi berkelanjutan bersamaan dengan pengembangan, meluncurkan program bug bounty yang berjalan terus-menerus, serta mengembangkan lebih lanjut pemindaian smart contract berbantuan AI, semuanya disebutkan sebagai komitmen utama ke depan.

Verifikasi formal, secara khusus, memainkan peran sentral dalam proses V4, kata Labs. Perusahaan verifikasi Certora bekerja bersama pengembang Aave sejak tahap desain awal, membantu membentuk arsitektur dan mengidentifikasi kerentanan sebelum kode masuk ke tahap audit formal.

Selain verifikasi formal, protokol ini juga menjalani beberapa putaran audit manual yang melibatkan perusahaan seperti ChainSecurity, Trail of Bits, dan Blackthorn, serta peneliti keamanan independen. Suite pengujian invariant terpisah dikembangkan menggunakan alat fuzzing untuk menguji perilaku komponen inti seperti pencatatan likuiditas, logika likuidasi, dan model suku bunga.

Basis kode protokol juga diuji dalam sebuah kontes keamanan publik selama enam minggu yang diselenggarakan di Sherlock antara Desember 2025 hingga Januari 2026. Lebih dari 900 peserta terverifikasi mengirimkan lebih dari 950 temuan sepanjang kontes, meskipun program ini melaporkan tidak ada kerentanan kritis atau berkeparahan tinggi.

Aave Labs mengatakan basis kode V4 sengaja dirancang agar lebih kecil dan modular dibanding pendahulunya, mengikuti desain ulang arsitektur hub-and-spoke protokol, sehingga memungkinkan audit yang lebih terfokus dan penelaahan keamanan yang lebih sederhana.

Model keamanan V4 juga mengintegrasikan masukan dari penyedia layanan risiko dan integrator yang membangun aplikasi di atas protokol peminjaman tersebut. Masukan mereka memperluas model ancaman untuk tidak hanya mencakup interaksi langsung pengguna namun juga asumsi keamanan sistem terintegrasi yang bergantung pada likuiditas Aave.

Konflik Aave DAO

Pengungkapan keamanan Aave Labs hadir di tengah periode gejolak internal dalam ekosistem Aave. Perselisihan tata kelola telah meningkat dalam beberapa bulan terakhir terkait alokasi dana, arah protokol, dan peran kontributor kunci.

Awal tahun ini, BGD Labs — kontributor teknis jangka panjang yang bertanggung jawab atas sebagian besar infrastruktur protokol — mengumumkan rencana untuk menghentikan pekerjaan terkait Aave setelah sekitar empat tahun keterlibatan.

Baru-baru ini, pendiri ACI Marc Zeller mengatakan bahwa Aave Chan Initiative, peserta penting tata kelola lainnya, berencana untuk mundur dari protokol pada bulan Juli di tengah meningkatnya ketegangan antar kontributor.

Perkembangan tersebut terjadi setelah debat sengit dalam tata kelola mengenai proposal yang dikenal sebagai "Aave will win", yang menguraikan perubahan pendapatan dan rencana yang lebih luas untuk upgrade V4 mendatang. Proposal tersebut lolos voting temperature check dengan dukungan 52,6%, menyoroti perpecahan dalam DAO mengenai arah masa depan protokol.

Aave merupakan protokol peminjaman onchain terbesar, dan termasuk salah satu penghasil biaya bulanan DeFi terbanyak, menurut dasbor data The Block.