Aave Labs propose un programme de bug bounty dédié pour Aave V4 avec Sherlock

• Aave Labs a publié une proposition pour un programme dédié de bug bounty avec un canal 24/7 pour signaler les problèmes de sécurité.
• Les soumissions à haute priorité nécessitent que les participants déposent au moins 250 USDC, qui sont perdus si le rapport est invalide ou considéré comme spam.

Aave Labs a publié une proposition pour lancer un nouveau programme de bug bounty dédié pour sa version 4 sur la plateforme de sécurité de Sherlock pour les protocoles DeFi. La proposition vise à établir un canal pour signaler toute préoccupation de sécurité sur la plateforme DeFi lors de sa transition vers la quatrième version (v4) de son protocole. Les Labs indiquent que Sherlock travaille avec la communauté pour auditer le protocole v3 actuel et a été utilisé pour les premiers tests de la v4. Cela permet d’établir des normes de signalement communes et des voies d’escalade pour toutes les parties. Le fondateur Stani Kulechov a souligné que les bug bounties ont été une partie importante de la stratégie de sécurité du réseau. Il a également loué l’équipe Sherlock pour son expertise dans la gestion des programmes de bug bounty et des concours de sécurité précédents.

Nous proposons de lancer le programme de bug bounty Aave V4 avec Sherlock. Les bug bounties ont longtemps été une composante essentielle de la stratégie de sécurité d’Aave, et l’équipe Sherlock a démontré une forte expertise dans la gestion à la fois des concours de sécurité et des programmes de bug bounty. https://t.co/azjjaV7fIZ

— Stani.eth (@StaniKulechov) 5 mars 2026

De son côté, Sherlock a exprimé son soutien au programme proposé, ajoutant : « Couverture en continu, triage structuré et escalade claire pour les rapports de haute gravité à mesure que la V4 se déploie et évolue. L’engagement d’Aave en matière de sécurité reste constant. » La mise en place d’un dépôt de 250 USDC par Aave pour prévenir le spam Le programme de bug bounty sera limité aux dépôts et contrats déployés dans les dépôts Aave v4. Toute extension ou migration vers d’autres programmes nécessiterait un vote de gouvernance séparé. Les participants peuvent soumettre à leur gré des rapports de priorité moyenne ou faible. Cependant, ils ne peuvent pas les faire évoluer vers des soumissions de niveau supérieur, même si leur portée s’élargit, afin de garantir qu’ils prêtent suffisamment attention à la classification initiale. Les soumissions à haute priorité et critiques, qui offrent des récompenses plus importantes, seront limitées aux utilisateurs qui déposent 250 USDC. Si la soumission est valide, le dépôt est remboursé avec la récompense. En cas d’invalidité, le dépôt est perdu pour couvrir les coûts de triage. Cela vise à empêcher le spam où les participants classent toutes les soumissions comme à haute priorité pour tenter d’obtenir une récompense plus élevée. Pour les soumissions à haute priorité, les membres de l’équipe de sécurité désignés d’Aave sont immédiatement informés via Telegram et Slack pour répondre rapidement. Les soumissions de priorité inférieure sont évaluées par un programme d’IA travaillant en collaboration avec des examinateurs humains. Seules les rapports jugés de meilleure qualité seront soumis à une revue.

Crédit image : Aave Labs.

Aave Labs a reconnu que, bien que le dépôt de 250 USDC réduise le spam, cela pourrait dissuader certains chercheurs sincères de soumettre des préoccupations de sécurité à haute priorité. Pour atténuer cela, il prévoit de maintenir la couche de priorité moyenne gratuite et de privilégier les chercheurs expérimentés utilisant cette couche. Il a également reconnu qu’en empêchant la reclassification des soumissions moyennes en haute priorité, il punirait les soumissions mal classées. Il prévoit de publier un guide détaillé dans le cadre des matériaux de lancement du programme. La proposition intervient quelques semaines après un conflit entre Aave Labs et BGD Labs, ce dernier annonçant son départ à la fin du mois. BGD, qui avait été contracté par l’Aave DAO pour traiter des questions de sécurité et techniques, affirme que Labs a entravé ses efforts pour faire avancer le protocole.