Đội ngũ Aave hợp tác với Sherlock qua ba giai đoạn riêng biệt trong quá trình nâng cấp V4: một cuộc kiểm tra hợp tác nhiều giai đoạn cùng Blackthorn, cuộc thi kiểm tra trị giá 365.000 đô la, và chương trình thưởng lỗi liên tục sau khi ra mắt để bảo vệ mã nguồn sống. Đối với một trong những thay đổi kiến trúc quan trọng nhất trong lịch sử Aave, phạm vi bảo vệ không dừng lại ở việc xem xét trước khi ra mắt. Nó kéo dài qua quá trình triển khai và vận hành trực tiếp.
@aave đã hợp tác với Sherlock qua ba giai đoạn chính trong nâng cấp V4: một cuộc kiểm tra hợp tác nhiều giai đoạn cùng Blackthorn, cuộc thi kiểm tra trị giá 365.000 đô la, và chương trình thưởng lỗi để bảo vệ mã nguồn sống sau khi ra mắt. Đối với một trong những thay đổi lớn nhất về kiến trúc trong lịch sử Aave,… pic.twitter.com/oqTzMLJBnG
— SHERLOCK (@sherlockdefi) 19 tháng 3, 2026
Tại sao V4 cần mức độ bảo vệ này
Aave V4 giới thiệu kiến trúc Hub-and-Spoke cùng hệ thống phí rủi ro mới. Đây không phải là những thay đổi nhỏ đối với mã hiện có. Chúng đại diện cho một sự thiết kế lại căn bản cách giao thức định tuyến thanh khoản và định giá rủi ro trên các thị trường của nó.
Kiến trúc mới đồng nghĩa với các bề mặt tấn công mới, và các bề mặt tấn công mới trong một giao thức xử lý hàng tỷ đô la quỹ người dùng có nghĩa là khả năng bỏ lỡ các vấn đề gần như bằng không.
Sherlock được đưa vào đặc biệt để đi sâu vào các phần của V4 hoàn toàn mới. Một cuộc kiểm tra tiêu chuẩn bao gồm những gì đã tồn tại. Những gì Aave cần cho V4 là phạm vi bảo vệ hiểu rõ các thành phần mới này dự định làm gì, cách chúng tương tác với mã cũ, và nơi thiết kế mới tạo ra các lỗ hổng mà các khung kiểm tra trước đó không thể phát hiện.
Ba giai đoạn, một lớp bảo mật liên tục
Cuộc kiểm tra hợp tác nhiều giai đoạn cùng Blackthorn tạo nền tảng. Thay vì một lần xem xét duy nhất, cấu trúc cho phép các phát hiện từ các giai đoạn đầu định hướng phạm vi của các giai đoạn sau. Khi các thành phần của V4 phát triển và tích hợp, quá trình kiểm tra thích ứng thay vì xem mã như một sản phẩm hoàn chỉnh.
Cuộc thi kiểm tra trị giá 365.000 đô la mở rộng mã nguồn cho một nhóm các nhà nghiên cứu bảo mật độc lập có lợi ích tài chính. Các cuộc kiểm tra dựa trên cuộc thi liên tục phát hiện ra các vấn đề mà các cuộc kiểm tra truyền thống của các công ty bỏ lỡ, vì cấu trúc khuyến khích tìm ra các lỗ hổng thực sự thay vì hoàn thành một danh sách kiểm tra.
Với giải thưởng 365.000 đô la, quỹ thưởng đủ lớn để thu hút các nhà nghiên cứu nghiêm túc xem đây như một công việc chuyên nghiệp thay vì một nỗ lực phụ.
Chương trình thưởng lỗi mở rộng phạm vi bảo vệ sau ngày ra mắt. Đây là phần mà hầu hết các quy trình kiểm tra bỏ qua hoàn toàn. Mã vượt qua kiểm tra trước khi ra mắt vẫn phải đối mặt với các điều kiện thực tế, các mẫu giao dịch mới lạ, và các kịch bản tương tác mà không cuộc kiểm tra nào có thể dự đoán hết. Chương trình thưởng lỗi trực tiếp duy trì động lực tài chính cho việc tiết lộ có trách nhiệm sau khi triển khai, nghĩa là lớp bảo mật không hết hạn ngay khi người dùng bắt đầu tương tác với V4.
Kiến trúc Hub-and-Spoke và lý do tại sao nó là trọng tâm
Mô hình Hub-and-Spoke là cốt lõi làm cho V4 khác biệt về mặt kiến trúc so với các phiên bản Aave trước đó. Nó tập trung một số chức năng của giao thức tại trung tâm (hub) trong khi cho phép các thị trường riêng lẻ hoạt động như các spoke với các tham số riêng của chúng.
Hệ thống phí rủi ro nằm trên đó, điều chỉnh linh hoạt chi phí vay dựa trên hồ sơ rủi ro cụ thể của từng tài sản và cấu hình thị trường.
Cả hai thành phần đều mới đến mức không có lịch sử kiểm tra trước đó để tham khảo. Việc Sherlock tập trung vào các khu vực này phản ánh một nguyên tắc bảo mật đơn giản: mã mới nhất và phức tạp nhất mang rủi ro còn lại cao nhất, và đó là nơi cần tập trung kiểm tra độc lập. Công việc hợp tác với Blackthorn cho phép cả hai công ty kiểm tra chéo các phát hiện về các thành phần mà một người kiểm tra đơn lẻ có thể bỏ sót, gây hậu quả thực tế.
Ý nghĩa thực sự của Bảo mật toàn vòng đời
Mô hình của Sherlock vượt ra ngoài các cuộc kiểm tra tại một thời điểm nhất định. Cấu trúc ba giai đoạn của Aave V4 là ví dụ về cách thực tế: phạm vi bắt đầu từ quá trình phát triển, tăng cường tại giai đoạn trước khi ra mắt qua đánh giá cạnh tranh, và tiếp tục trong vận hành trực tiếp qua các phần thưởng liên tục.
Đối với một giao thức quy mô của Aave, cách tiếp cận này phản ánh một quan điểm thực tế về nơi xảy ra các thất bại bảo mật. Các cuộc kiểm tra trước khi ra mắt bắt được nhiều thứ. Nhưng không bắt được tất cả.
Sự kết hợp giữa kiểm tra chuyên nghiệp, cuộc thi cộng đồng, và phần thưởng sau khi ra mắt tạo thành các lớp chồng chéo bao phủ các chế độ thất bại khác nhau ở các giai đoạn khác nhau của vòng đời giao thức.
Kết luận
Quy trình bảo mật của Aave V4 với Sherlock đáng để tham khảo như một mô hình. Ba giai đoạn, hai trước khi ra mắt và một sau khi ra mắt, bao phủ các thành phần kiến trúc mới nhất của giao thức bằng sự kết hợp của đánh giá chuyên gia, cuộc thi mở, và giám sát trực tiếp. Đối với các giao thức triển khai hạ tầng mới thực sự, đây là loại phạm vi bảo vệ phù hợp với hồ sơ rủi ro thực tế của những gì đang được triển khai.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
