탈중앙화 금융(DeFi) 대출 프로토콜 에이브 랩스(Aave Labs)가 에이브 V4에 대한 포괄적 보안 감사 보고서를 공개했다.

에이브 랩스는 5일 방법론, 프로세스 및 결과를 포함한 에이브 V4 보안 계획의 완전 투명성 보고서를 발표했다. 트레일 오브 비츠(Trail of Bits), 블랙쏜(Blackthorn), 서토라(Certora) 등 다수의 보안 기관이 공동으로 검증에 참여했다.

345일 보안 검토 완료... DAO 승인 150만 달러 투입

이번 보안 계획은 수동 감사, 형식 검증, 불변성 테스트, 퍼징 테스트 및 공개 보안 경진대회를 통해 총 약 345일간 진행됐다. 해당 계획은 DAO가 승인한 150만 달러의 전용 보안 예산으로 지원됐다.

에이브 V4 코드베이스는 지난해 4분기 강화 단계에 진입해 여러 차례의 감사와 보안 경진대회를 거쳤다. 트레일 오브 비츠는 지난 2월 에이브 V4에 대한 보안 감사를 완료했으며, 블랙쏜과 셜록(Sherlock) 팀도 두 번째 감사를 성공적으로 마쳤다.

5대 핵심 보안 원칙 천명…형식 검증부터 AI 스캔까지

에이브 랩스는 에이브 V4 보안 계획을 통해 5가지 핵심 약속을 제시했다.

먼저 초기 개발 단계부터 형식 검증을 내장해 아키텍처 설계가 사후 검증이 아닌 보안 방법론의 지도를 받도록 했다. 이어 수동 검토, 형식 검증, 불변성 테스트, AI 지원 검사, 퍼징 테스트 및 공개 보안 경진대회를 포함한 다층 보안 접근법을 채택해 잠재적 취약점을 다각도로 포착할 수 있도록 했다.

또한 형식 검증 프레임워크와 불변성 테스트 스위트가 프로토콜 업데이트와 함께 지속적으로 실행되도록 해 지속적인 보안 커버리지를 유지한다. 장기 버그 바운티 프로그램을 설립해 보안 커뮤니티의 지속적인 모니터링도 확보했다.

마지막으로 '기존 테스트 경험을 바탕으로 AI 스캔 기능을 최적화해 향후 버전의 보안 탐지 수준을 지속적으로 향상시킬 계획'을 밝혔다.

최주훈 joohoon@blockstreet.co.kr