¿Qué pasó realmente con The DAO en 2016? 🍒 La DAO fue el primer fondo de riesgo construido sobre contratos inteligentes. Los usuarios depositaron ETH y recibieron tokens DAO para votar sobre dónde debía ir el dinero. En total, recaudó USD 150 millones de 11,000 personas, el 15% de todo ETH en ese momento 🔷 ¿Dónde estaba la vulnerabilidad? Había un error en la función splitDAO: permitía a un usuario "dividirse" y crear una nueva sub-DAO con una parte de los fondos. Pero no incluía protección contra un ataque de reentrada, un tipo de exploit en el que se llama repetidamente a una función antes de que se actualice 😳 el saldo Cómo funcionó el ataque: • El atacante activó splitDAO para crear una sub-DAO • Luego lo llamó recursivamente, docenas de veces, antes de que el saldo se actualizara • El contrato no comprobaba si los fondos ya se habían retirado, por lo que seguían llegando Básicamente, era como un cajero automático roto que repartía dinero en efectivo una y otra vez hasta que se daba cuenta de que estaba vacío 🎰 ¿Cómo se solucionó? La comunidad de Ethereum tenía dos opciones: A) Déjalo como está y deja que el hacker se vaya con 60 millones de 😱 dólares B) Revertir la cadena de bloques hasta antes del hackeo 🔙 Eligieron la opción B. Esto llevó a una bifurcación dura y dos cadenas separadas: • Ethereum (ETH): con la reversión y los reembolsos • Ethereum Classic (ETC): la cadena original, donde el código se mantuvo sin cambios ¿Qué cambió después de esto? 1️⃣ La reentrada se convirtió en un vector de ataque bien conocido → Ahora bien, una de las primeras cosas que comprueban los auditores 2️⃣ Firmas de auditoría como OpenZeppelin y Trail of Bits se convirtieron en estándares de la industria → Ningún proyecto serio lanza contratos inteligentes sin una auditoría 3️⃣ Surgieron frameworks DAO como XDAO, Aragon, y DAOstack → Ya nadie escribe código DAO desde cero 4️⃣ Mejora de la seguridad de la experiencia de usuario y la gobernanza → Con roles, multifirma, límites de gasto, renuncia a la rabia y más ¿Por qué XDAO está protegido de este tipo de escenarios? La diferencia clave: las auditorías ✅ El mayor defecto de la DAO fue lanzarse sin una auditoría completa, y así es exactamente como el error pasó desapercibido. El marco XDAO ha sido auditado por empresas de seguridad independientes como Hacken y Pessimistic. Ya se utiliza en 40+ blockchains y miles de DAO reales. Los contratos inteligentes para XDAO en TON también serán auditados pronto 🫡 Interfaz ✅ cerrada y segura En The DAO, los usuarios podían interactuar directamente con el contrato, activando funciones peligrosas de forma intencionada o por error. En XDAO, todas las acciones pasan por una interfaz de Telegram con solo operaciones seguras y preaprobadas. No se puede llamar manualmente🔓 a funciones de contrato de bajo nivel No hay funciones críticas como splitDAO ✅ La DAO tenía una función que permitía a cualquiera dividirse y llevarse una parte de la tesorería. XDAO no lo permite: todos los movimientos de fondos requieren votación o multifirma, y el comportamiento de DAO se establece claramente en el momento de la creación. Las partes confidenciales están protegidas por roles, límites y reglas 🖥 de validación XDAO no es un MVP, es un producto ✅ maduro Ha pasado por auditorías, docenas de lanzamientos, adopción en 40+ cadenas y ha sido sometido a pruebas de estrés por cientos de miles de DAO. Se trata de una infraestructura robusta, y es exactamente en lo que nos basamos para TON ⚙ Conclusión La DAO fue pionera y víctima de su propia novedad. Su fracaso fue un punto de inflexión para la industria. Ahora estamos en 2025. En 9 años, todo lo que una vez falló se ha reconstruido desde cero: arquitectura, prácticas de auditoría, interfaces, claridad legal y experiencia colectiva. Todo lo que fue fatal en 2016 se fortalece hoy en XDAO 🤩