Aave Labs vừa công bố bản kế hoạch chi tiết nhằm bảo mật phiên bản tiếp theo của giao thức cho vay DeFi lớn nhất thị trường, đồng thời thiết lập quy trình kiểm toán và xác minh kéo dài một năm cho Aave V4. Công ty cũng cam kết áp dụng các tiêu chuẩn này cho những giai đoạn phát triển trong tương lai của giao thức.
Trong bài đăng trên diễn đàn quản trị tuần này, Aave Labs cho biết quá trình phát triển V4 được xây dựng theo mô hình “security-first framework”, trong đó các cơ chế bảo vệ smart contract được tích hợp ngay từ giai đoạn thiết kế kiến trúc ban đầu, thay vì chỉ được kiểm tra ở bước kiểm toán cuối trước khi ra mắt.
Chương trình bảo mật này kết hợp nhiều phương pháp khác nhau như xác minh hình thức (formal verification), kiểm toán thủ công, kiểm thử bất biến (invariant testing), fuzzing và một cuộc thi bảo mật công khai. Tổng thời gian đánh giá lên tới khoảng 345 ngày, với sự tham gia của đội ngũ nội bộ, các công ty kiểm toán bên ngoài và các nhà nghiên cứu bảo mật độc lập.
Theo Aave Labs, chương trình được tài trợ bởi ngân sách bảo mật 1,5 triệu USD đã được Aave DAO thông qua.
Các cam kết bảo mật dài hạn
Từ kinh nghiệm phát triển V4, Aave Labs cho biết sẽ áp dụng năm cam kết bảo mật dài hạn cho các phiên bản giao thức trong tương lai.
Các cam kết này bao gồm: tích hợp xác minh hình thức ngay từ đầu chu kỳ phát triển, duy trì mô hình bảo mật nhiều lớp kết hợp nhiều phương pháp kiểm toán, thực hiện xác minh liên tục song song với quá trình phát triển, triển khai chương trình bug bounty dài hạn và tiếp tục phát triển các công cụ quét smart contract có hỗ trợ AI.
Trong đó, xác minh hình thức đóng vai trò trung tâm trong quá trình phát triển V4. Công ty xác minh Certora đã làm việc trực tiếp với đội ngũ phát triển Aave ngay từ giai đoạn thiết kế ban đầu, giúp định hình kiến trúc hệ thống và phát hiện các lỗ hổng tiềm ẩn trước khi mã nguồn bước vào các vòng kiểm toán chính thức.
Ngoài ra, giao thức cũng trải qua nhiều vòng kiểm toán thủ công với sự tham gia của các công ty bảo mật như ChainSecurity, Trail of Bits và Blackthorn, cùng các nhà nghiên cứu bảo mật độc lập. Một bộ kiểm thử bất biến riêng cũng được xây dựng bằng các công cụ fuzzing để kiểm tra hành vi của các thành phần cốt lõi như hệ thống kế toán thanh khoản, cơ chế thanh lý và mô hình lãi suất.
Mã nguồn của giao thức cũng được đưa vào một cuộc thi bảo mật công khai kéo dài sáu tuần trên nền tảng Sherlock từ tháng 12/2025 đến tháng 1/2026. Hơn 900 người tham gia đã gửi hơn 950 phát hiện bảo mật, tuy nhiên chương trình không ghi nhận lỗ hổng nghiêm trọng hoặc mức độ cao nào.
Aave Labs cho biết mã nguồn của V4 được thiết kế nhỏ gọn và mô-đun hơn so với phiên bản trước, nhờ kiến trúc hub-and-spoke mới của giao thức. Điều này giúp các cuộc kiểm toán có thể tập trung hơn và đơn giản hóa quá trình đánh giá bảo mật.
Mô hình bảo mật của V4 cũng tích hợp phản hồi từ các đơn vị cung cấp dịch vụ quản trị rủi ro và các nhà phát triển ứng dụng xây dựng trên giao thức cho vay của Aave. Nhờ đó, mô hình đe dọa được mở rộng để bao gồm không chỉ tương tác trực tiếp của người dùng mà còn cả các giả định bảo mật của những hệ thống tích hợp phụ thuộc vào thanh khoản của Aave.
Bối cảnh căng thẳng trong hệ sinh thái Aave
Thông báo về kế hoạch bảo mật của Aave Labs được đưa ra trong bối cảnh hệ sinh thái Aave đang đối mặt với nhiều tranh cãi nội bộ.
Trong những tháng gần đây, các tranh luận quản trị ngày càng gia tăng xoay quanh việc phân bổ ngân sách, định hướng phát triển giao thức và vai trò của các đóng góp quan trọng trong hệ sinh thái.
Đầu năm nay, BGD Labs — đơn vị đóng góp kỹ thuật lâu năm chịu trách nhiệm cho nhiều phần hạ tầng của giao thức — thông báo sẽ ngừng tham gia phát triển Aave sau khoảng bốn năm hoạt động.
Gần đây hơn, Marc Zeller, nhà sáng lập ACI, cho biết Aave Chan Initiative — một nhóm tham gia quản trị lớn khác — cũng dự định rút khỏi giao thức vào tháng 7 trong bối cảnh căng thẳng giữa các bên đóng góp ngày càng gia tăng.
Những diễn biến này xảy ra sau cuộc tranh luận quản trị gây nhiều tranh cãi xoay quanh đề xuất “Aave will win”, trong đó đề cập đến việc điều chỉnh doanh thu và kế hoạch rộng hơn cho bản nâng cấp V4 sắp tới. Đề xuất này đã vượt qua vòng bỏ phiếu “temperature check” với 52,6% ủng hộ, cho thấy sự chia rẽ đáng kể trong cộng đồng DAO về định hướng tương lai của giao thức.
Hiện Aave vẫn là giao thức cho vay onchain lớn nhất thị trường và nằm trong nhóm tạo ra doanh thu phí DeFi hàng tháng cao nhất.
- Aave tiến gần mô hình token-centric, 100% doanh thu sản phẩm về AAVE
- Nội bộ Aave dậy sóng: Tranh cãi tài trợ hàng chục triệu USD trước cuộc bỏ phiếu lịch sử
Vương Tiễn
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay:
- Telegram: @coinphoton_vn
X (Twitter): @coinphoton_vi
Discord: @coinphoton_vn
- Thẻ đính kèm:
- aave
- Aave Labs
