Aave V4 s'associe à Sherlock pour un processus de sécurité en trois phases et un concours d'audit $365K

L’équipe d’Aave s’associe à Sherlock tout au long de la mise à niveau V4 en trois phases distinctes : un audit collaboratif multi-phases réalisé avec Blackthorn, un concours d’audit de 365 000 $, et un programme de bug bounty en cours pour couvrir le code en direct après le lancement. Pour l’une des modifications architecturales les plus importantes de l’histoire d’Aave, la couverture de sécurité ne s’arrête pas à la revue pré-lancement. Elle couvre également le déploiement et les opérations en direct.

L’équipe @aave s’est associée à Sherlock lors de la mise à niveau V4 à travers trois phases majeures : un audit collaboratif multi-phases avec Blackthorn, un concours d’audit de 365 000 $, et un bug bounty pour protéger le code en direct après le lancement. Pour l’une des plus grandes évolutions architecturales de l’histoire d’Aave,… pic.twitter.com/oqTzMLJBnG

— SHERLOCK (@sherlockdefi) 19 mars 2026

Pourquoi V4 nécessite ce niveau de couverture

Aave V4 introduit une architecture Hub-and-Spoke ainsi qu’un nouveau système de prime de risque. Il ne s’agit pas de simples modifications incrémentielles du code existant. Elles représentent une refonte fondamentale de la façon dont le protocole gère la liquidité et la tarification du risque à travers ses marchés.

Une nouvelle architecture signifie de nouvelles surfaces d’attaque, et dans un protocole manipulant des milliards de fonds utilisateur, la marge d’erreur est pratiquement nulle.

Sherlock est spécifiquement mobilisé pour approfondir les parties de V4 qui sont entièrement nouvelles. Un audit standard couvre ce qui existe déjà. Ce dont Aave a besoin pour V4, c’est d’une couverture qui comprend ce que doivent faire les nouveaux composants, comment ils interagissent avec le code legacy, et où la conception innovante crée des expositions que les cadres d’audit précédents n’étaient pas conçus pour détecter.

Trois phases, une seule couche de sécurité continue

L’audit collaboratif multi-phases avec Blackthorn constitue la base. Plutôt qu’une revue en une seule étape, cette structure permet aux résultats des premières phases d’influencer la portée des phases suivantes. À mesure que les composants de V4 évoluent et s’intègrent, le processus d’audit s’adapte plutôt que de considérer le code comme un artefact fini.

Le concours d’audit de 365 000 $ ouvre le code à un plus grand nombre de chercheurs en sécurité indépendants, avec une implication financière. Les audits par concours révèlent systématiquement des problèmes que les audits traditionnels en cabinet manquent, car la structure d’incitation récompense la découverte de vulnérabilités réelles plutôt que la simple complétion d’une liste de vérification.

Avec 365 000 $, la cagnotte est suffisamment importante pour attirer des chercheurs sérieux qui le considèrent comme un engagement professionnel plutôt qu’un effort secondaire.

Le programme de bug bounty étend la couverture au-delà de la date de lancement. C’est la partie que la plupart des processus d’audit ignorent totalement. Un code qui passe la revue pré-lancement doit encore faire face à des conditions réelles, des modèles de transaction innovants et des scénarios d’interaction que tout audit ne peut prévoir entièrement. Un bug bounty en direct maintient l’incitation financière à une divulgation responsable active après le déploiement, ce qui signifie que la couche de sécurité ne disparaît pas dès que les utilisateurs commencent à interagir avec V4.

L’architecture Hub-and-Spoke et pourquoi elle est le point focal

Le modèle Hub-and-Spoke est au cœur de ce qui rend V4 architecturally différent des versions précédentes d’Aave. Il centralise certaines fonctions du protocole au niveau du hub tout en permettant à chaque marché d’opérer comme une branche avec ses propres paramètres.

Le système de prime de risque repose sur cette architecture, ajustant dynamiquement les coûts d’emprunt en fonction du profil de risque spécifique de chaque actif et de la configuration du marché.

Les deux composants sont suffisamment nouveaux pour qu’il n’y ait pas d’historique d’audit antérieur à exploiter. La focalisation de Sherlock sur ces domaines reflète un principe de sécurité simple : le code le plus récent et le plus complexe porte le risque résiduel le plus élevé, et c’est là que la vigilance indépendante doit se concentrer. La collaboration avec Blackthorn permet aux deux entreprises de vérifier mutuellement leurs résultats sur des composants où les angles morts d’un seul examinateur pourraient avoir de graves conséquences.

Ce que signifie réellement la sécurité tout au long du cycle de vie

Le modèle de Sherlock dépasse la simple audit ponctuelle par conception. La structure en trois phases sur Aave V4 illustre concrètement ce à quoi cela ressemble : une couverture qui commence lors du développement, s’intensifie lors de la phase pré-lancement par une revue compétitive, puis se poursuit dans les opérations en direct grâce à des incitations continues via le bounty.

Pour un protocole de l’envergure d’Aave, cette approche reflète une vision réaliste des endroits où les défaillances de sécurité se produisent réellement. Les audits pré-lancement en attrapent beaucoup, mais pas tout.

La combinaison d’un audit professionnel, d’un concours participatif et d’un bounty post-lancement crée des couches superposées qui couvrent différents modes de défaillance à différentes étapes de la vie du protocole.

Conclusion

Le processus de sécurité d’Aave V4 avec Sherlock constitue un modèle à suivre. Trois phases, deux avant le lancement et une après, couvrant les composants architecturaux les plus innovants avec une combinaison d’examen par des experts, de compétition ouverte et de surveillance en direct. Pour les protocoles déployant une infrastructure véritablement nouvelle, c’est le type de couverture qui correspond au profil de risque réel de ce qui est mis en place.