Aave V4: 1 año de auditorías y ninguna vulnerabilidad crítica detectada

Comparte tu amor

Criptomonedas
Criptomoedas | Foto de Coinhako na Unsplash

Enquanto bancos tradicionais escondem seus processos internos atrás de relatórios anuais e reguladores pagos pelo próprio setor, a Aave Labs publicado na semana passada um detalhamento de cada etapa do programa de segurança do seu novo protocolo — auditores contratados, metodologias usadas, resultados obtidos e quanto dinheiro foi gasto.

O que é o Aave V4

Para quem ainda não conhece: o Aave é o maior protocolo de empréstimos descentralizados do mundo. Funciona como um banco, mas sem banco — qualquer pessoa pode depositar criptoativos para render juros ou tomar empréstimos usando seus ativos como garantia, tudo executado por contratos inteligentes na blockchain, sem intermediários. Falamos dele no artigo “¿Dónde invertir tus criptomonedas para generar ingresos?

O Aave V4 é a próxima geração deste protocolo, reconstruído com uma arquitetura chamada hub-and-spoke, que separa a gestão central de liquidez dos módulos individuais de operação. O resultado é um código menor, mais modular e, como o programa de segurança demonstrou, mais limpo do que qualquer versão anterior.

345 dias de revisão, US$ 1,5 milhão investidos

O programa de segurança do Aave V4 começou em março de 2025, quando a empresa Certora foi integrada à equipe desde o início do desenvolvimento — não chamada apenas no final para “checar o código”, como é comum. A lógica é simples: problemas de arquitetura são muito mais baratos de corrigir quando o sistema ainda está sendo desenhado do que depois que o código está pronto.

Ao longo de quase 12 meses, o protocolo passou por:

  • Verificação formal com a Certora, que usa matemática para provar propriedades do código, não apenas testá-las
  • Quatro rodadas de auditoria manual com empresas como ChainSecurity, Trail of Bits e Blackthorn, além de pesquisadores independentes
  • Testes de invariantes e fuzzing — ferramentas que tentam quebrar o sistema de formas aleatórias e inesperadas
  • Um concurso público de segurança na plataforma Sherlock, com mais de 900 pesquisadores verificados submetendo mais de 950 achados ao longo de seis semanas

O resultado: nenhuma vulnerabilidade crítica encontrada em nenhuma fase do programa. Os relatórios públicos da Trail of Bits, Blackthorn e ChainSecurity confirmam isso.

O orçamento total aprovado pela DAO foi de US$ 1,5 milhão. O programa foi concluído abaixo desse valor — e o saldo restante será devolvido à DAO.

Por que isso importa para quem usa DeFi

Exploits em protocolos DeFi são a maior fonte de perdas no setor. Em 2024, centenas de milhões de dólares foram drenados de protocolos que ou foram mal auditados, ou simplesmente não investiram o suficiente em segurança antes do lançamento.

Hoje, a Aave fez o que é esperado de um bom protocolo DeFi: auditorias paralelas e independentes, cada equipe partindo de premissas diferentes para maximizar a chance de encontrar algo que outra equipe teria perdido. Dois conjuntos independentes de testes de invariantes, desenvolvidos por equipes separadas sem coordenação prévia. Uma verificação formal que roda continuamente ao lado do desenvolvimento, não apenas no final.

Um detalhe que chama atenção no documento original: pesquisadores com acesso antecipado ao código descreveram o repositório como o mais limpo que já viram antes de uma auditoria, citando design cuidadoso e aplicação consistente de boas práticas. Isso não é branding — é o feedback público de profissionais de segurança pagos para ser céticos.

Governança descentralizada em funcionamento

Vale destacar um aspecto que passa despercebido: quem aprovou o orçamento de US$ 1,5 milhão não foi um CEO nem um conselho de administração. Foi a Aave DAO — os detentores do token AAVE, votando em proposta pública.

Isso significa que a decisão de quanto gastar em segurança, quais empresas contratar e como divulgar os resultados foi tomada de forma coletiva e transparente, por quem tem dinheiro em risco. O documento publicado no fórum de governança é a própria prestação de contas dessa decisão.

É o modelo oposto ao de um banco que terceiriza sua auditoria para uma firma escolhida por ele mesmo, publica um resumo de duas páginas no relatório anual e chama isso de transparência.

O que vem por aí

A Aave Labs listou cinco compromissos que carregará para os próximos desenvolvimentos: manter verificação formal desde o início de qualquer novo protocolo, continuar com metodologias em camadas, manter cobertura contínua de segurança mesmo após o lançamento, implementar um programa permanente de bug bounty e aprofundar o uso de ferramentas de auditoria assistidas por IA — como complemento, não substituto, da revisão humana.

A data de lançamento do Aave V4 ainda não foi anunciada, mas o programa de segurança está encerrado. O protocolo está pronto do ponto de vista técnico.

Para quem usa DeFi — ou está considerando usar —, o Aave V4 é um dos casos mais bem documentados de como construir infraestrutura financeira descentralizada de forma responsável. Não é garantia de que nada vai dar errado. Mas é o padrão mais alto disponível hoje no setor.

Comparte:

Boletín de noticias

Introduzca su dirección de correo electrónico para recibir noticias

Entradas relacionadas

Tendencia ahora

Monedero Bitcoin
¿Cuál es el mejor monedero Bitcoin para principiantes?
Bitcoin Brasil
La regulación del Banco Central preocupa al mercado de criptomonedas en Brasil
Dólar
La pérdida de la soberanía financiera: cómo los gobiernos se hicieron con el control de la moneda
Samourai
El monedero Bitcoin más privado del mundo

Manténgase informado y no se agobie, ¡suscríbase ahora!