Только что услышал кое-что очень важное в экосистеме Aave. Aave Labs завершили масштабный аудит безопасности для V4 и не нашли ни одной критической уязвимости, что честно говоря, редко привлекает достаточно внимания в этой сфере.

Объем работы был серьезным. Мы говорим о 345 днях строгого тестирования, стоимостью 1,5 миллиона долларов. Они не ограничились только стандартным ручным обзором — они полностью перешли к формальной верификации, тестированию инвариантов, fuzz-тестированию и даже провели публичный конкурс по безопасности. Более 900 участников предоставили более 950 отчетов за шесть недель. Это тот самый краудсорсинговый аудит безопасности, который действительно имеет значение.

Это подтвердили и крупные игроки. ChainSecurity, Trail of Bits и Blackthorn одобрили процесс и не обнаружили проблем высокой важности. Когда несколько ведущих аудиторских фирм соглашаются в таком вопросе, это действительно весомо.

Интересно, что новая архитектура на самом деле помогла в этом. Модульный дизайн типа «хаб-и-спук», реализованный для V4, привел к более чистому и компактному коду. Может показаться контринтуитивным, но это сделало аудит безопасности более эффективным без компромиссов.

Но они не просто похлопывают себя по плечу и идут дальше. Aave Labs поддерживают активность своей системы формальной верификации и продолжают тестировать инварианты. Они также создают постоянную программу по сбору баг-баунти, что говорит о том, что они рассматривают безопасность как непрерывный процесс, а не как разовую задачу.

Это фундаментальная работа, которая не всегда попадает в заголовки, но именно она отличает проекты, серьезно относящиеся к своей инфраструктуре, от тех, кто этого не делает. Когда протокол вкладывает столько усилий в аудит безопасности и подкрепляет это постоянной приверженностью, это стоит внимания.