Aave V4: 1 año de auditorías y ninguna vulnerabilidad crítica detectada

Comparte tu amor

Criptomonedas
Foto de Coinhako na Unsplash

Mientras los bancos tradicionales ocultan sus procesos internos tras informes anuales y reguladores pagados por el propio sector, Aave Labs publicado detalló la semana pasada cada etapa del programa de seguridad de su nuevo protocolo: auditores contratados, metodologías utilizadas, resultados obtenidos y cuánto dinero se gastó.

Qué es Aave V4

Para los que no lo sepan: Aave es el mayor protocolo de préstamo descentralizado del mundo. Funciona como un banco, pero sin banco: cualquiera puede depositar criptoactivos para ganar intereses o pedir préstamos utilizando sus activos como garantía, todo ejecutado por contratos inteligentes en la blockchain, sin intermediarios. Hablamos de ello en el artículo “¿Dónde invertir tus criptomonedas para generar ingresos?

Aave V4 es la próxima generación de este protocolo, reconstruido con una arquitectura denominada cubo y radios, La nueva versión del software, que separa la gestión central de la liquidez de los módulos operativos individuales. El resultado es un código más pequeño, más modular y, como ha demostrado el programa de seguridad, más limpio que cualquier versión anterior.

345 días de revisión, US$ 1,5 millones invertidos

El programa de seguridad de Aave V4 comenzó en marzo de 2025, cuando la empresa Certora se integró en el equipo desde el principio del desarrollo, y no sólo al final para “comprobar el código”, como es habitual. La lógica es sencilla: los problemas de arquitectura son mucho más baratos de solucionar cuando el sistema aún se está diseñando que cuando el código ya está listo.

A lo largo de casi 12 meses, el protocolo se llevó a cabo:

  • Verificación formal con Certora, que utiliza las matemáticas para demostrar las propiedades del código, no sólo para probarlas.
  • Cuatro rondas de auditoría manual con empresas como ChainSecurity, Trail of Bits y Blackthorn, así como con investigadores independientes.
  • Pruebas de invariantes y fuzzing - herramientas que intentan romper el sistema de forma aleatoria e inesperada
  • Un concurso de seguridad pública en la plataforma Sherlock, con más de 900 investigadores verificados que presentaron más de 950 resultados en seis semanas.

El resultado: no se han encontrado vulnerabilidades críticas en cualquier fase del programa. Los informes públicos de Trail of Bits, Blackthorn y ChainSecurity lo confirman.

El presupuesto total aprobado por la DAO fue de 1,5 millones de USD. El programa se completó por debajo de esta cantidad, y el saldo restante se devolverá a la DAO.

Por qué es importante para los usuarios de DeFi

Los exploits en protocolos DeFi son la mayor fuente de pérdidas del sector. En 2024, se drenaron cientos de millones de dólares de protocolos mal auditados o que simplemente no invirtieron lo suficiente en seguridad antes de su lanzamiento.

Hoy, Aave ha hecho lo que se espera de un buen protocolo DeFi: auditorías paralelas e independientes, cada equipo partiendo de premisas distintas para maximizar la posibilidad de encontrar algo que otro equipo hubiera pasado por alto. Dos conjuntos independientes de pruebas invariantes, desarrolladas por equipos separados sin coordinación previa. Verificación formal continua durante el desarrollo, no sólo al final.

Un detalle llamativo en el documento original: los investigadores con acceso temprano al código describieron el repositorio como el más limpio que habían visto antes de una auditoría, citando un diseño cuidadoso y la aplicación coherente de buenas prácticas. Eso no es branding: es la opinión pública de profesionales de la seguridad pagados para ser escépticos.

Gobernanza descentralizada en funcionamiento

Merece la pena destacar un aspecto que pasa desapercibido: no fue un director general ni un consejo de administración quien aprobó el presupuesto de 1,5 millones de US$. Fue el Aave DAO - los titulares de la ficha AAVE, mediante votación de una propuesta pública.

Esto significa que la decisión sobre cuánto gastar en seguridad, qué empresas contratar y cómo dar a conocer los resultados fue tomada de forma colectiva y transparente por quienes tienen dinero en juego. El documento publicado en el foro de gobernanza es la rendición de cuentas de esta decisión.

Es el modelo opuesto al de un banco que subcontrata su auditoría a una empresa elegida por él mismo, publica un resumen de dos páginas en el informe anual y lo llama transparencia.

Próximos pasos

Aave Labs ha enumerado cinco compromisos que llevará adelante en los próximos desarrollos: mantener la verificación formal desde el inicio de cualquier nuevo protocolo, continuar con metodologías por capas, mantener una cobertura de seguridad continua incluso después del lanzamiento, implantar un programa permanente de recompensa por errores y profundizar en el uso de herramientas de auditoría asistidas por IA, como complemento, no como sustituto, de la revisión humana.

Aún no se ha anunciado la fecha de lanzamiento de Aave V4, pero el programa de seguridad está cerrado. El protocolo está listo desde el punto de vista técnico.

Para quienes utilizan DeFi -o se lo están planteando- Aave V4 es uno de los casos mejor documentados de cómo construir una infraestructura financiera descentralizada de forma responsable. No es garantía de que nada vaya a salir mal. Pero es el nivel más alto disponible actualmente en el sector.

Comparte:

Boletín de noticias

Introduzca su dirección de correo electrónico para recibir noticias

Entradas relacionadas

Tendencia ahora

Monedero Bitcoin
¿Cuál es el mejor monedero Bitcoin para principiantes?
Bitcoin Brasil
La regulación del Banco Central preocupa al mercado de criptomonedas en Brasil
Mercados de previsão
Como ganhar dinheiro vendo o futuro? Entenda os mercados de previsão
Dólar
La pérdida de la soberanía financiera: cómo los gobiernos se hicieron con el control de la moneda

Manténgase informado y no se agobie, ¡suscríbase ahora!