Aave V4 se asocia con Sherlock para un proceso de seguridad de tres fases y un concurso de auditoría $365K

El equipo de Aave se asocia con Sherlock en la actualización V4 a través de tres fases distintas: una auditoría colaborativa de múltiples fases realizada junto con Blackthorn, un concurso de auditoría de $365,000 y un programa de recompensas por errores en curso que cubre el código en vivo después del lanzamiento. Para uno de los cambios arquitectónicos más importantes en la historia de Aave, la cobertura de seguridad no se detiene en la revisión previa al lanzamiento. Se extiende desde el despliegue hasta las operaciones en vivo.

El equipo de @aave se asoció con Sherlock en la actualización V4 a través de tres fases principales: una auditoría colaborativa de múltiples fases con Blackthorn, un concurso de auditoría de $365K y una recompensa por errores para proteger el código en vivo después del lanzamiento. Para uno de los cambios estructurales más grandes en la historia de Aave,… pic.twitter.com/oqTzMLJBnG

— SHERLOCK (@sherlockdefi) 19 de marzo de 2026

Por qué V4 necesita este nivel de cobertura

Aave V4 introduce una arquitectura Hub-and-Spoke junto con un nuevo sistema de prima de riesgo. Estos no son cambios incrementales en el código existente. Representan un rediseño fundamental de cómo el protocolo enruta la liquidez y valora el riesgo en sus mercados.

Una nueva arquitectura significa nuevas superficies de ataque, y en un protocolo que maneja miles de millones en fondos de usuarios, la margen para errores es prácticamente cero.

Sherlock se involucra específicamente para profundizar en las partes de V4 que son completamente nuevas. Una auditoría estándar cubre lo que existe. Lo que Aave necesita para V4 es una cobertura que entienda qué deben hacer los nuevos componentes, cómo interactúan con el código heredado y dónde el diseño novedoso crea exposiciones que los marcos de auditoría anteriores no estaban diseñados para detectar.

Tres fases, una capa de seguridad continua

La auditoría colaborativa de múltiples fases con Blackthorn forma la base. En lugar de una revisión de una sola pasada, la estructura permite que los hallazgos de las fases iniciales informen el alcance de las posteriores. A medida que los componentes de V4 se desarrollan e integran, el proceso de auditoría se adapta en lugar de tratar el código como un artefacto terminado.

El concurso de auditoría de $365,000 abre el código a un campo más amplio de investigadores de seguridad independientes con interés financiero. La auditoría basada en concursos revela consistentemente problemas que las auditorías tradicionales de firmas pasan por alto, porque la estructura de incentivos recompensa encontrar vulnerabilidades reales en lugar de completar una lista de verificación.

Con un premio de $365,000, el fondo de premios es lo suficientemente grande como para atraer a investigadores serios que lo tratan como un compromiso profesional en lugar de un esfuerzo secundario.

El programa de recompensas por errores extiende la cobertura más allá de la fecha de lanzamiento. Esta es la parte que la mayoría de los procesos de auditoría omiten por completo. El código que pasa la revisión previa al lanzamiento aún enfrenta condiciones del mundo real, patrones de transacción novedosos y escenarios de interacción que ninguna auditoría anticipa completamente. Una recompensa en vivo por errores mantiene activa la motivación financiera para la divulgación responsable después del despliegue, lo que significa que la capa de seguridad no expira en el momento en que los usuarios comienzan a interactuar con V4.

La arquitectura Hub-and-Spoke y por qué es el enfoque

El modelo Hub-and-Spoke es el núcleo de lo que hace que V4 sea arquitectónicamente diferente de las versiones anteriores de Aave. Centraliza ciertas funciones del protocolo en un nivel central (hub) mientras permite que los mercados individuales operen como radios (spokes) con sus propios parámetros.

El sistema de prima de riesgo se sitúa encima de eso, ajustando dinámicamente los costos de préstamo según el perfil de riesgo específico de cada activo y configuración del mercado.

Ambos componentes son lo suficientemente nuevos como para no tener un historial de auditorías previo. El enfoque de Sherlock en estas áreas refleja un principio de seguridad directo: el código más nuevo y complejo lleva el mayor riesgo residual, y allí es donde la revisión independiente debe concentrarse. El trabajo colaborativo con Blackthorn permite que ambas firmas verifiquen mutuamente los hallazgos en componentes donde los puntos ciegos de un solo revisor podrían tener consecuencias reales.

Qué significa realmente la seguridad de ciclo de vida completo

El modelo de Sherlock va más allá de auditorías puntuales por diseño. La estructura de tres fases en Aave V4 es un ejemplo de cómo se ve eso en la práctica: cobertura que comienza durante el desarrollo, se intensifica en la etapa previa al lanzamiento mediante revisión competitiva y luego continúa en operaciones en vivo a través de incentivos de recompensas continuas.

Para un protocolo a la escala de Aave, este enfoque refleja una visión realista de dónde ocurren realmente las fallas de seguridad. Las auditorías previas al lanzamiento detectan muchas cosas, pero no todo.

La combinación de auditoría profesional, concurso de crowdsourcing y recompensa post-lanzamiento crea capas superpuestas que cubren diferentes modos de fallo en distintas etapas de la vida del protocolo.

Conclusión

El proceso de seguridad de Aave V4 con Sherlock es un modelo que vale la pena seguir. Tres fases, dos previas al lanzamiento y una posterior, cubriendo los componentes más novedosos desde el punto de vista arquitectónico con una combinación de revisión experta, competencia abierta y monitoreo en vivo. Para protocolos que implementan infraestructura realmente nueva, es el tipo de cobertura que coincide con el perfil de riesgo real de lo que se despliega. La asociación de Aave con la plataforma DeFi de Sherlock, a través de una auditoría colaborativa, un concurso de $365K y recompensas en vivo por errores, establece un nuevo estándar para la seguridad de los protocolos. Cuando la arquitectura es completamente nueva, el proceso de seguridad debe estar a la altura.