Aave Labs опубликовала предложение о запуске специализированной программы вознаграждения за обнаружение уязвимостей (bug bounty) для четвёртой версии своего протокола (V4) на платформе безопасности Sherlock. Программа предназначена для создания круглосуточного канала сообщений о проблемах безопасности в процессе перехода на V4. Основатель Aave Стани Кулечов отметил, что подобные программы давно являются важной частью стратегии безопасности сети, а команда Sherlock продемонстрировала высокий профессионализм в управлении аналогичными инициативами.
Ключевым элементом программы для сообщений высокой и критической важности станет обязательный стейкинг в размере 250 USDC. Если отчёт окажется валидным, стейк возвращается вместе с вознаграждением. В случае необоснованного или спам-сообщения депозит будет конфискован для покрытия расходов на проверку. Это призвано предотвратить массовую отправку низкокачественных отчётов в надежде на высокую выплату. Для менее приоритетных сообщений стейкинг не требуется. Aave Labs признаёт, что требование депозита может отпугнуть некоторых исследователей, и в качестве смягчающей меры предлагает бесплатный уровень среднего приоритета для опытных специалистов.
Предложение появилось вскоре после того, как платформа HypurrFi, работающая на Hyperliquid's HyperEVM, обнаружила и обнародовала уязвимость, связанную с ошибкой округления в ядре Aave V3 (версии до 3.5). Для защиты средств пользователей HypurrFi приостановила новые депозиты и займы на рынках XAUTO и UBTC. Команда HypurrFi сотрудничает с разработчиками Aave и другими исследователями безопасности, предупреждая, что данная уязвимость может затрагивать и другие форки протокола.
Этот инцидент вызывает вопросы о безопасности текущей версии V3, в которой размещено $26,5 млрд пользовательских средств, и может использоваться Aave Labs как аргумент в пользу ускоренного перехода на V4. При этом всего за несколько дней до обнаружения уязвимости Aave Labs опубликовала всеобъемлющий отчёт по безопасности V4, в котором заявила, что за год тестирования (с марта 2025 по февраль 2026) не было обнаружено критических уязвимостей высокого уровня серьёзности. В аудите участвовали фирмы Certora, ChainSecurity, Trail of Bits, Blackthorn и более 900 независимых исследователей.
Ситуация развивается на фоне внутренних разногласий в экосистеме Aave. В конце февраля BGD Labs, нанятая Aave DAO для решения вопросов безопасности, объявила об уходе 1 апреля, сославшись на контроль Aave Labs над управлением и искусственные ограничения в развитии V3. Вслед за этим ACI (Aave Chan Initiative) также заявила о нежелании продлевать контракт, раскритиковав предложение «Aave Will Win», которое выделяет Aave Labs около $51 млн финансирования. По словам основателя ACI Марка Зеллера, это предложение прошло благодаря голосам, делегированным с адресов, связанных с Labs, включая 111 000 AAVE от основателя Стани Кулечова. Обе команды выразили разочарование в связи с настойчивым стремлением Aave Labs мигрировать с V3 на V4.
