跳到主要内容

Aave 的 SOC 2 Type II 认证:DeFi 的首个企业级合规审计如何解锁机构资本

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

十年来,每一份向银行展示的 DeFi 融资演示文稿(pitch deck)都在同一面墙前戛然而止。协议的 TVL 巨大,智能合约审计报告叠了五层,收益率比机构在自己交易台能获取的任何收益都要高。接着,采购团队提出了一个问题——“你们的 SOC 2 报告在哪里?”——于是交易便陷入了沉寂。

2026 年 4 月,Aave Labs 回答了这个问题。作为最大的去中心化借贷协议背后的团队,他们获得了涵盖 Aave Pro、Aave Kit 和 Aave App 的安全性、可用性和机密性的 SOC 2 Type II 鉴证报告。这是顶级 DeFi 协议首次达到与企业级 SaaS 供应商、云平台和受监管金融基础设施相同的运营控制标准。

这不是那种加密货币爱好者会本能感到兴奋的新闻稿。没有代币解锁,没有 TVL 暴涨,也没有空投。但对于那些关注 DeFi 两年却因无法入场而徘徊不前的银行风险委员会、资产管理合规官和企业财务主管来说,这项认证消除了最后的结构性障碍之一。它改变了“无需信任(trustless)”一词被允许代表的含义。

为什么 SaaS 审计标准在 DeFi 中突然变得重要

SOC 2 —— 由美国注册会计师协会(AICPA)管理的系统和组织控制框架 —— 是决定企业采购团队是否允许你进门的认证。每一个 Slack 级别的 B2B SaaS 供应商都以此为生。Type I 证明你有控制措施;Type II 则证明这些控制措施在持续至少六个月的观察期内确实有效运行。

据报道,Aave 的鉴证审查了应用于协议发布生命周期的开发工作流、软件保护、信息处理程序和运营实践。这些是那些平淡乏味的运营机制:工程师如何获得生产访问权限、如何检测和升级事故、数据流如何记录、变更管理如何获得批准。

DeFi 在历史上一直以一个合理的论点拒绝此类评估:协议即合约,合约即审计。Trail of Bits、OpenZeppelin 和 Certora 已经围绕 Solidity 的对抗性代码审查建立了庞大的业务。为什么在不可变的基础设施之上还需要托管服务审计?

答案在 2024 年和 2025 年变得不可回避。智能合约审计查看的是单一时间点的代码。它们无法告诉受监管的资金分配者,开发团队如何处理凌晨 2 点的零日漏洞披露、谁拥有前端部署流水线的密钥、多签签署人是否拥有防钓鱼的多因素身份验证(MFA),或者团队的供应商名单中是否包含已知的受损 npm 依赖项。这些是组织性问题,而 SOC 2 Type II 是企业风险团队用于询问这些问题的语言。

采购之墙,简要说明

如果你从未向受监管的金融机构销售过软件,这里是导致交易破裂的工作流程:银行的一位业务赞助人想要使用某个 DeFi 协议。他们写了一份用例报告。用例提交给供应商风险团队,后者发回一份包含 200 个问题的安全问卷。第 14 个问题是“请提供过去 12 个月的 SOC 2 Type II 报告”。直到 2026 年,没有任何 DeFi 协议能勾选这一项。

替代答案 —— “我们是去中心化的,合约是不可变的,这是七份 Trail of Bits 的报告” —— 在智力上是正确的,但在程序上是无用的。供应商风险框架是围绕公认的控制鉴证构建的,而不是对无需信任的哲学辩护。对于“我们没有 CEO”这种说法,并没有等效的 ISO 27001 标准。

Aave 的 SOC 2 并不能消除向信贷委员会解释 DAO 治理时的尴尬,但它满足了在合同达成前扼杀试点项目的程序性步骤。这就是企业销售中“可行”与“可执行”之间的区别。

追赶托管层

Aave 并不是将 SOC 2 引入加密货币领域的先驱。托管和交易层多年前就已经实现了。

  • Fireblocks 同时持有 SOC 2 Type II、ISO 27001、SOC 1 Type II、ISO 27017/27018 和 CCSS 3 级认证。
  • Coinbase Custody 拥有德勤(Deloitte & Touche)审计的 SOC 1 Type II 和 SOC 2 Type II。
  • BitGo 拥有合格托管机构预期的 SOC 认证,以及大约 2.5 亿至 3.2 亿美元的伦敦劳合社(Lloyd's of London)保险覆盖。

托管机构达到了这一标准,是因为他们必须这样做:他们的整个产品就是“我们持有你的资产,且我们值得信赖”。交易所紧随其后,则是出于机构经纪人的原因。直到现在,所缺失的是协议层。一家银行可以将资产托管在 Coinbase,通过 Fireblocks 路由交易,但仍然没有地方可以在链上实际部署资本,因为另一端的借贷协议没有同等的认证。

Aave 的 SOC 2 弥补了资产端的这一缺口。现在的垂直机构堆栈如下:合格托管机构(经过 SOC 鉴证)→ 交易和结算平台(经过 SOC 鉴证)→ 借贷协议(经过 SOC 鉴证)。每一个环节现在对使用同一份清单的供应商风险团队来说都是清晰可见的。

Horizon:5.5 亿美元的突破口

这项认证并非在真空状态下发生。它建立在 Aave Horizon 之上——这是 Aave 专门推出的许可市场,旨在让合格机构能够以美国国债等代币化现实世界资产(RWA)作为抵押来借入稳定币。

Horizon 目前的净存款约为 5.5 亿美元,而 Aave 的 2026 年路线图目标是通过扩大与 Circle、Ripple、Franklin Templeton 和 VanEck 的合作伙伴关系,在年底前达到 10 亿美元。这些并不是投机取巧、仅对加密货币感到好奇的交易对手。他们是实际出现在机构投资组合中的代币化资产的发行方,而且正是供应商风险委员会所认可的知名机构。

Horizon 是需求信号,SOC 2 是采购的促成因素。它们注定会同时发布;缺一不可。一个没有合规认证的许可制 RWA 市场只是一个测试版产品;而一个没有机构级部署场所的 SOC 2 认证则是无人问津的凭证。两者结合在一起构成了一个论点:DeFi 的下一阶段增长将通过“此前无法进入”而现在可以进入的资金交易量来衡量。

“信任代码且信任组织”的时代

这里更深层次的转变在于 DeFi 愿意对自己做出什么样的声明。

2020 年时代的口号是“信任代码”。智能合约是确定性的,审计是公开的,治理是在链上的——因此,可以完全根据其软件来评估协议。这个故事对于那些习惯于将 Etherscan 作为真相来源、将 Discord 频道作为支持台的加密原生用户来说是行之有效的。

但它从未在机构层面发挥作用,因为真正的资金分配者评估的是交易对手风险,而不不仅仅是代码风险。他们想知道谁有权向前端代码库推送代码,如果团队的域名注册商被社交工程攻击了会发生什么,值班工程师是否拥有响应实时攻击所需的访问权限,以及事件响应是否经过演练。这些都不在智能合约中,但都在 SOC 2 的范围内。

新的口号是“信任代码且信任运行它的组织”。这虽然是一个不那么优雅的口号,但它符合所有其他受监管金融基础设施的实际评估方式。AWS 受到信任并不是因为 S3 是开源的,而是因为亚马逊的控制措施经过了审计。Visa 受到信任并不是因为卡网络在数学上是安全的,而是因为 VisaNet 拥有数十年的经证明的运营实践。DeFi 现在开始参与这一博弈。

这样做是有代价的。加密货币的协议层本应是组织信任无关紧要的地方。SOC 2 将中心化团队的概念——Aave Labs、Avara 实体、工程组织——重新引入信任模型,其方式与普通公司惊人地相似。去中心化原教旨主义者的反对是现实存在的。而反驳意见是,在 2026 年,唯一能够获得机构资金流的 DeFi 协议将是那些愿意像普通公司一样接受审计的协议,这两类群体之间的差距即将迅速扩大。

其他协议现在被迫做出的决定

Aave 刚刚设定了一个新的门槛。每一个其他顶级的 DeFi 协议现在都面临一个带有 12 个月倒计时的战略问题:他们是追求 SOC 2 认证,还是接受自己只能竞争加密原生资本,而 Aave 则在受监管资金流上积累结构性优势?

动力最明显的候选者包括:

  • Uniswap Labs —— 处于相同采购问题的交易端。前端和 Uniswap X 基础设施的 SOC 2 认证将释放目前通过 OTC 平台路由的机构交易流。
  • Maple Finance —— 已经为机构信贷提供服务;通过为加密原生机构服务,其 TVL 从 5 亿美元增长到超过 40 亿美元。SOC 2 是向银行级交易对手发展的必然过程。
  • Morpho —— 正在通过精心筛选的保险库构建激进的机构姿态;其针对 Aave Horizon 的竞争地位取决于匹配的合规凭证。
  • Compound、Spark、Pendle —— 各自面临着同样的问题,但紧迫性不同,这取决于它们瞄准机构收益的直接程度。

率先行动的协议将拥有与 Stripe 相比早期支付处理器相同的优势:不一定是更好的产品,而是一个能让买家更快说“好”的采购方案。那些不采取行动的协议,即使其链上指标看起来很好,也面临着在结构上被排除在下一波 1000 亿美元以上 DeFi 流入资金之外的风险。

另一项依然重要的审计

这些都不能取代智能合约审计。这两项评估涵盖了不重叠的风险面。SOC 2 不会发现新资产列表中的重入漏洞。Trail of Bits 的审查也不会告诉你值班工程师是否真的能在周日凌晨 3 点被呼叫到岗。前瞻性的 DeFi 机构风险框架正在向分层模型收敛,即两项认证都是必需的,此外还增加了对运行时监控、关键路径的形式化验证以及具有意义的赔付水平的漏洞赏金计划的需求。

Aave 在这方面更具优势,因为其代码库是 DeFi 历史上经过最严苛审计的代码库之一,且其漏洞赏金计划已大规模运行多年。对于审计历史较薄弱的协议,SOC 2 过程将暴露相邻的差距——变更管理、供应商清单、访问审查——这些必须在评估运营控制之前予以修复。认证时间表通常从启动到发布第一份 Type II 报告需要 9 到 18 个月,这大致也是决定机构级 DeFi 采用情况的时间窗口。

这对基础设施提供商意味着什么

SOC 2 的级联效应并不会止步于协议层。协议及其机构交易对手所依赖的基础设施——RPC 节点、索引器、数据提供商、签名服务——都将被纳入同样的合规框架中。一家刚刚批准了 Aave 的银行供应商风险团队,将会对触及其实际交易的每一个依赖项提出同样的 SOC 2 合规要求。

对于部分一直以“尽力而为”可靠性模型运行的 Web3 基础设施堆栈来说,这将是一个令人不安的转变。没有 SLA(服务水平协议)就宕机的 RPC 节点、缺乏正式变更管理的索引器、没有记录在案的访问控制的密钥管理服务——这些都无法通过真正的机构级供应商审查。基础设施层即将迎来协议层刚刚经历过的采购标准谈判。

尽早达到标准的提供商将成为机构的默认选择。而那些达不到标准的提供商,一旦拥有洁净 SOC 2 报告的竞争对手出现,就会立即被替换。

BlockEden.xyz 在 Sui、Aptos、Ethereum 以及其他 20 多个链上运行生产级 Web3 基础设施,具备机构买家开始要求 DeFi 堆栈每一层都必须具备的运营纪律。探索我们的 API 市场,在为机构时代设计的基础设施上进行构建。

悄然发生的拐点

我们可能会夸大单一审计证明的作用。Aave 的 SOC 2 本身并不会在下个季度就为 Horizon 带来海量的银行级资本。采购周期是缓慢的,围绕 DeFi 参与的法律执行力和会计问题仍未完全解决。第一支通过许可型 Aave 市场进行借贷的主权财富基金,最早也要到 2027 年才会出现。

但这是那种在曲线已经弯曲之后,回头看才会被指出的时刻。2020 年和 2021 年的周期构建了链上机制。2024 年和 2025 年的周期构建了监管和代币化资产的轨道。2026 年的周期正在构建运营信任层,让那些一直在门外观望的机构能够真正使用其他的一切。

Aave 的 SOC 2 Type II 是这堵墙上的第一块协议层砖块。那些意识到这是一堵墙并现在就开始朝着这个方向构建的协议,将定义 DeFi 的下一个十年。而那些等待监管机构或审计师主动找上门的协议,将不得不在这十年里解释,为什么他们的链上 TVL 从未转化为每个人都在预言的机构资金流。

信任的基础设施正在通过一次又一次的鉴证得到重建。Aave 刚刚落下了第一块基石。

Share on Twitter