- Aave Labs a publié une proposition pour un programme dédié de bug bounty avec un canal 24/7 pour signaler les problèmes de sécurité.
- Les soumissions à haute priorité nécessitent que les participants déposent au moins 250 USDC, qui sont perdus si le rapport est invalide ou considéré comme spam.
Aave Labs a publié une proposition pour lancer un nouveau programme dédié de bug bounty pour sa version v4 sur la plateforme de sécurité de Sherlock pour les protocoles DeFi.
La proposition vise à établir un canal pour signaler toute préoccupation de sécurité sur la plateforme DeFi lors de sa transition vers la quatrième version (v4) de son protocole. Les Labs indiquent que Sherlock collabore avec la communauté pour auditer le protocole v3 actuel et a été utilisé pour les premiers tests de la v4. Cela permet d’établir des normes de signalement communes et des voies d’escalade pour toutes les parties.
Le fondateur Stani Kulechov a souligné que les bug bounties ont été une partie importante de la stratégie de sécurité du réseau. Il a également loué l’équipe Sherlock pour son expertise dans la gestion des programmes de bug bounty et des concours de sécurité précédents.
Nous proposons de lancer le programme de bug bounty Aave V4 avec Sherlock. Les bug bounties ont longtemps été une composante essentielle de la stratégie de sécurité d’Aave, et l’équipe Sherlock a démontré une forte expertise dans la gestion à la fois des concours de sécurité et des programmes de bug bounty. https://t.co/azjjaV7fIZ
— Stani.eth (@StaniKulechov) 5 mars 2026
De son côté, Sherlock a exprimé son soutien au programme proposé, ajoutant : « Couverture en continu, triage structuré et escalade claire pour les rapports de haute gravité à mesure que la V4 se déploie et évolue. L’engagement d’Aave envers la sécurité reste constant. »
La participation de 250 USDC d’Aave pour prévenir le spam
Le programme de bug bounty sera limité aux dépôts et contrats déployés de la V4 d’Aave. Toute extension ou migration vers d’autres programmes nécessiterait un vote de gouvernance séparé.
Les participants peuvent soumettre à leur gré des rapports de priorité moyenne ou faible. Cependant, ils ne peuvent pas les faire évoluer vers des soumissions de niveau supérieur, même si leur portée s’élargit, afin de garantir qu’ils prêtent suffisamment attention à la classification initiale.
Les soumissions à haute priorité et critiques, qui offrent des récompenses plus importantes, seront limitées aux utilisateurs qui déposent 250 USDC. Si la soumission est valide, la mise est restituée avec la récompense. En cas d’invalidité, la mise est perdue pour couvrir les coûts de triage. Cela vise à empêcher le spam où les participants classent toutes les soumissions comme à haute priorité pour tenter d’obtenir une récompense plus élevée.
Pour les soumissions à haute priorité, les membres de l’équipe de sécurité désignés d’Aave sont immédiatement informés via Telegram et Slack pour répondre rapidement. Les soumissions de priorité inférieure sont évaluées par un programme d’IA travaillant en collaboration avec des examinateurs humains. Seules les rapports jugés de meilleure qualité seront soumis à une revue.
Crédit image : Aave Labs.
Aave Labs a reconnu que, bien que la mise en jeu de 250 USDC réduise le spam, cela pourrait dissuader certains chercheurs sincères de soumettre des préoccupations de sécurité à haute priorité. Pour atténuer cela, il prévoit de maintenir la couche de priorité moyenne gratuite et de privilégier les chercheurs expérimentés utilisant cette couche.
Il a également reconnu qu’en empêchant la reclassification des soumissions moyennes en haute priorité, il punirait les soumissions mal classées. Il prévoit de publier un guide détaillé dans le cadre des matériaux de lancement du programme.
La proposition intervient quelques semaines après un différend entre Aave Labs et BGD Labs, ce dernier annonçant son départ à la fin du mois. BGD, qui avait été contracté par l’Aave DAO pour traiter des questions de sécurité et techniques, affirme que les Labs ont entravé ses efforts pour faire avancer le protocole.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Lancement de la version bêta de l’infrastructure de paiement crypto d’UstarPay le 22 avril
UstarPay lance une version bêta pour permettre des paiements adossés à la crypto via des cartes, pour un usage quotidien et des transactions transfrontalières, avec des stablecoins ; vise des licences MSB aux États-Unis et au Canada, et utilise des portefeuilles multi-signatures ainsi que des portefeuilles à froid/à chaud pour la sécurité, version publique d’ici mai.
GateNewsIl y a 36m
Suilend signale des opérations normales et des fonds utilisateurs en sécurité malgré une autre attaque de protocole
Suilend confirme le bon fonctionnement normal du marché et la sécurité des fonds des utilisateurs, tandis que l’équipe surveille un autre incident de sécurité de protocole et prévoit des mises à jour supplémentaires.
Résumé : Suilend indique une activité de marché normale et des fonds sécurisés, avec une surveillance continue d’un incident de sécurité d’un protocole distinct et des mises à jour à venir.
GateNewsIl y a 2h
Ethena rétablit le pont LayerZero pour sUSDe et USDe et met à niveau la configuration DVN à 4/4
Résumé : Ethena a réactivé le pont inter-chaînes de LayerZero pour sUSDe et USDe après une suspension précédente, a mis à jour la configuration DVN sur l’ensemble des chaînes à 4/4 afin de renforcer la sécurité, et a conservé la limite de transfert de $10 million/heure.
Synthèse : Ethena a rétabli le pont inter-chaînes LayerZero pour sUSDe/USDe après une suspension, a mis à jour DVN à 4/4 sur toutes les chaînes pour améliorer la sécurité ; les transferts inter-chaînes restent plafonnés à 10 M$/heure.
GateNewsIl y a 2h
Base lance sa première mise à niveau indépendante du réseau Azul, activation mainnet prévue pour le 13 mai
Base Azul est en ligne sur le testnet avec une activation mainnet prévue au 13 mai 2026, la première mise à niveau indépendante du réseau ; elle renforce la sécurité, les performances et l’expérience développeur grâce à la multi-preuve, à un client d’exécution unique, et à Osaka ; aucune action utilisateur n’est nécessaire.
Base annonce Azul, sa première mise à niveau indépendante du réseau, désormais en ligne sur le testnet avec une activation mainnet prévue au 13 mai 2026. La mise à niveau ajoute un mécanisme de multi-preuve, désigne base-reth-node comme l’unique client d’exécution, et adopte la spécification de la couche d’exécution Osaka pour rester aligné sur Ethereum, sans qu’aucune action utilisateur ne soit requise. Deux autres mises à niveau sont prévues pour fin juin et fin août, et Base Vibenet, un réseau de développement public destiné à tester les fonctionnalités à venir, sera lancé à la mi-mai.
GateNewsIl y a 2h
Mise à jour de l’incident de sécurité de RHEA Finance : il reste environ 400 000 USD de déficit, engagement de l’indemniser intégralement
RHEA Finance a publié une mise à jour de suivi concernant l’incident de sécurité du 16 avril, confirmant des progrès tangibles dans le recouvrement des actifs ; à la date de cette mise à jour, il est estimé qu’il subsiste encore un manque d’environ 400 000 dollars, principalement dû à la combinaison de NEAR, USDT et USDC dans la réserve du marché des prêts. RHEA Finance s’engage à combler intégralement tout manque restant, afin de garantir que tous les utilisateurs touchés reçoivent une indemnisation complète.
MarketWhisperIl y a 3h
Le coffre du protocole Volo a été attaqué, entraînant une perte de 3,5 millions, le TVL restant a été confirmé comme sûr
La déclaration de Volo sur X concernant le protocole de l’écosystème Sui confirme qu’une faille de sécurité s’est produite, entraînant le vol d’environ 3,5 millions de dollars d’actifs dans 3 coffres-forts spécifiques, impliquant WBTC, XAUm et USDC. Volo indique avoir informé immédiatement la Sui Foundation et les partenaires de l’écosystème après avoir détecté l’attaque, en gelant tous les coffres-forts pour empêcher toute perte supplémentaire ; Volo s’engage à assumer l’intégralité des pertes, sans laisser les utilisateurs porter quelque responsabilité que ce soit.
MarketWhisperIl y a 3h
