에이브 토큰(Aave) 아베(AAVE) Labs가 345일 동안 진행된 V4 보안 감사 결과를 발표하면서 좁은 거래 범위에서 벗어나려는 시도를 하고 있습니다. 이번 감사에서는 심각한 취약점이 발견되지 않았습니다.
3월 4일 감사 보고서는 거버넌스 갈등 고조로 인해 마크 젤러가 이끄는 아베(AAVE) Chain Initiative(ACI)가 탈퇴를 발표한 지 하루 만에 논란이 많았던 프로토콜 업그레이드를 진전시켰습니다.
Aave Labs는 " 설계 단계부터 고려한 보안: 아베(AAVE) V4 " 라는 제목의 보고서에서 아베(AAVE) 년 3월부터 2026년 2월까지 1년간 진행된 프로그램을 자세히 설명했습니다. 이 프로그램에는 4개 회계법인에 15명의 연구원을 배치하고, 형식 검증, 불변성 테스트, 그리고 6주간의 공개 경진대회를 실시하는 내용이 포함되었습니다.
해당 프로그램은 당초 예산인 150만 달러보다 적은 비용이 들었으며, The DAO) 의 자금 지원을 받았습니다.
하지만 이 보고서 발표는 아베(AAVE) 생태계 내부의 심각한 긴장 상황 속에서 이루어졌습니다.
3월 3일, ACI는 구조적 지배구조 문제로 인해 향후 4개월에 걸쳐 운영을 단계적으로 축소할 것이라고 발표했습니다 . 이 발표로 인해 에이브 토큰(Aave) 108달러까지 하락했다가 현재 118달러 부근까지 회복했습니다.
345일간의 검토 결과, 심각한 영향을 미칠 수 있는 취약점은 발견되지 않았습니다.
이번 감사는 4개의 회계법인과 4개의 독립 연구기관에 걸쳐 진행되었으며, 총 15명의 연구원이 275일(총 감사일수)에 걸쳐 투입되었습니다. 1차 감사는 2025년 9월부터 11월까지 진행되었습니다.
Certora는 8주 동안 근무한 연구원 2명을, ChainSecurity는 4주 동안 근무한 연구원 2명을, Trail of 비츠(Bits) 는 2주 동안 근무한 연구원 3명을, Blackthorn은 3주 동안 근무한 연구원 4명을 파견했습니다.
Stermi, Deadrosesecxyz, Josselin, Kurt Barry를 포함한 다른 독립 연구원들은 13주 동안 초기 단계 검토를 수행했으며, V4가 그들이 본 "사전 감사 코드베이스 중 가장 깔끔한 코드베이스"라고 평가했습니다.
12월 1일부터 6주간 아베(AAVE) Labs에서 셜록 콘테스트를 개최했는데, 900명이 넘는 인증된 참가자가 950건 이상의 발견 사항을 제출했지만, 심각한 문제는 발견되지 않았습니다.
두 번째 검증은 2월에 진행되었으며, 검증 오류를 수정하는 데 80일이 추가되었고, 보고서에 따르면 심각한 취약점은 발견되지 않았습니다.
기술적 우수성은 뛰어나지만, 지배구조에 문제가 있는 걸까?
최근 V4 감사에서 아베(AAVE) Labs는 뛰어난 기술적 투명성을 보여주었으며, 감사 과정, 결과 및 비용을 공개적으로 공유했을 뿐만 아니라 초기 예산인 150만 달러보다 적은 금액으로 감사를 완료하고 남은 자금을 The DAO 에 반환할 계획입니다.
하지만 프로젝트 내부의 거버넌스 갈등은 간과할 수 없습니다. ACI는 아베(AAVE) Labs 관련 클러스터에서 나온 약 233,000표(쿨레초프가 위임했다고 주장되는 111,000표 포함)가 3월 1일 임시 점검 투표에서 52.58%의 찬성률을 얻기 위해 조작에 사용되었다고 주장했습니다.
ACI는 또한 해당 제안을 지지하기 전에 네 가지 조건(더 엄격한 마일스톤 추적, 자체 투표 제한 이더리움 클래식(ETC))을 제시했지만, 이 조건들은 무시되었습니다.
V3 개발에 참여했던 BGD Labs는 2월 20일, Aave Labs와의 계약을 4월 1일부터 갱신하지 않겠다고 발표하며 , 주요 기술 파트너로서의 4년간의 관계를 사실상 종료했습니다. BGD Labs는 계약 해지 이유로 중앙집권화에 대한 우려와 아베(AAVE) Labs가 V4 홍보를 위해 V3를 공격적으로 비판하는 방식을 지적했습니다.
그럼에도 불구하고, "아베(AAVE) 승리할 것이다"라는 제안은 임시 검토를 거쳐 ARFC 단계로 진출했으며, 이 단계에서는 구속력 있는 온체인 투표에 앞서 구조적 수정 사항이 논의될 예정입니다.
V4 승인도 포함될 예정이지만, 별도의 제안서 제출이 필요합니다. 따라서 이 프로젝트는 불과 몇 달 만에 주요 기술 기여자와 가장 적극적인 거버넌스 담당자를 모두 잃을 위기에 처해 있습니다.
근소한 표차의 결과, 정당성 문제, 그리고 참여자들의 이탈은 V4의 거버넌스에 불확실성을 드리우고 있습니다. BGD Labs가 4월 1일부로 탈퇴하고 ACI가 점진적으로 운영을 중단함에 따라, V3에서 V4로의 전환 과정에서 독립적인 감독이 제대로 이루어졌는지에 대한 의문이 제기되고 있습니다.
