image

Aave V4 は 3 段階のセキュリティ プロセスと 36 万 5,000 ドルの監査コンテストで Sherlock と提携

Tatsuya Yamamoto

Aave チームは、Blackthorn と共同で実施される複数フェーズの共同監査、365,000 ドルの監査コンテスト、およびリリース後のライブ コードを対象とする継続的なバグ報奨金プログラムという、3 つの異なるフェーズを通じて V4 アップグレード全体にわたって Sherlock と提携しています。 Aave の歴史の中で最も重要なアーキテクチャ上の変更の 1 つであるため、セキュリティの範囲は発売前のレビューにとどまりません。導入から実際の運用まで実行されます。

V4 にこのレベルのカバレッジが必要な理由

Aave V4 では、新しいリスク プレミアム システムとともにハブ アンド スポーク アーキテクチャが導入されています。これらは、既存のコードに対する段階的な変更ではありません。これらは、プロトコルが市場全体で流動性と価格のリスクをどのようにルーティングするかについての根本的な再設計を表しています。

新しいアーキテクチャは新しい攻撃対象領域を意味し、数十億のユーザー資金を扱うプロトコルにおける新しい攻撃対象領域は、見逃した問題に対するマージンが事実上ゼロであることを意味します。

シャーロックは、V4 のまったく新しい部分をさらに深く掘り下げるために特別に連れてこられました。標準的な監査では、存在するものを対象とします。 Aave が V4 に対して必要としているのは、新しいコンポーネントが何を行うことになっているのか、レガシー コードとどのように対話するのか、そして、新しい設計が以前の監査フレームワークでは検出できなかった漏洩を引き起こす箇所を理解するカバレッジです。

3 つのフェーズ、1 つの連続したセキュリティ層

Blackthorn との多段階の共同監査が基盤を形成します。シングルパスレビューではなく、この構造により、初期段階での発見が後の段階の範囲に情報を提供できるようになります。 V4 のコンポーネントが開発および統合されると、コードベースを完成した成果物として扱うのではなく、監査プロセスが適応します。

365,000 ドルの監査コンテストは、ゲームに経済的な関心を持つ独立したセキュリティ研究者の幅広い分野にコードを公開します。コンテストベースの監査では、インセンティブ構造がチェックリストを完了するのではなく、実際の脆弱性の発見に報酬を与えるため、従来の企業ベースの監査が見逃していた問題が常に表面化します。

賞金総額は 365,000 ドルと、副業ではなく専門的な取り組みとして扱う真剣な研究者を惹きつけるのに十分な大きさです。

バグ報奨金プログラムの対象範囲は、発売日以降も延長されます。これは、ほとんどの監査プロセスが完全にスキップする部分です。リリース前レビューに合格したコードでも、監査が完全には予想していない現実の状況、新しいトランザクション パターン、相互作用シナリオに直面することになります。ライブ バグ報奨金により、展開後も責任ある開示に対する金銭的インセンティブが有効に保たれます。つまり、ユーザーが V4 と対話し始めた瞬間にセキュリティ層が期限切れになることはありません。

ハブアンドスポーク アーキテクチャとそれが注目される理由

ハブ アンド スポーク モデルは、V4 を以前の Aave バージョンとアーキテクチャ的に異なるものにする核心です。これにより、特定のプロトコル機能がハブ レベルで集中化され、同時に個々の市場が独自のパラメータを持つスポークとして動作できるようになります。

リスクプレミアムシステムはその上にあり、各資産の特定のリスクプロファイルと市場構成に基づいて借入コストを動的に調整します。

どちらのコンポーネントも非常に新しいため、以前の監査履歴を利用する必要はありません。 Sherlock がこれらの分野に重点を置くのは、単純なセキュリティ原則を反映しています。つまり、最新かつ最も複雑なコードには最も高い残留リスクが伴い、そこに独立した精査が集中する必要があります。 Blackthorn との共同作業により、両社は、1 人のレビュー担当者の盲点が実際の結果をもたらす可能性のあるコンポーネントに関する調査結果をクロスチェックすることができます。

フルライフサイクルセキュリティが実際に意味するもの

シャーロックのモデルは、設計上、特定時点の監査を超えています。 Aave V4 の 3 フェーズ構造は、実際の様子を示す一例です。対象範囲は開発中に始まり、競合レビューを通じて発売前の段階で強化され、その後継続的な報奨金インセンティブを通じて実際の運用に継続されます。

Aave 規模のプロトコルの場合、このアプローチはセキュリティ障害が実際に発生する場所の現実的な見解を反映しています。発売前の監査では多くのことがわかります。彼らはすべてを把握しているわけではありません。

専門的な監査、クラウドソーシングによるコンテスト、および起動後の報奨金を組み合わせることで、プロトコルの存続期間のさまざまな段階でのさまざまな障害モードをカバーする重複するレイヤーが作成されます。

結論

Sherlock を使用した Aave V4 のセキュリティ プロセスは、モデルとして注目に値します。 2 つのリリース前と 1 つのリリース後の 3 つのフェーズで、専門家のレビュー、公開競争、およびライブ監視の組み合わせにより、プロトコルの最もアーキテクチャ的に斬新なコンポーネントをカバーします。真に新しいインフラストラクチャを出荷するプロトコルの場合、展開されているものの実際のリスク プロファイルに一致する種類の補償範囲になります。共同監査、36 万 5,000 ドルのコンテスト、ライブ バグ報奨金を通じた Aave V4 と Sherlock の DeFi プラットフォームとのパートナーシップは、プロトコル セキュリティの新たな基準を設定しました。アーキテクチャがまったく新しい場合、セキュリティ プロセスも一致する必要があります。

Tatsuya Yamamoto
Tatsuya Yamamoto

東京を拠点に活動するCoinhackの編集長として、仮想通貨とブロックチェーンに情熱を注いでいます。これらの複雑なテーマを、正確でわかりやすい分析を通じて読者に届けることを目指しています。経験と革新への関心を活かし、ビットコインの世界における信頼できる情報を日々提供するよう努めています。