Mitä DAO:lle todella tapahtui vuonna 2016? 🍒 DAO oli kaikkien aikojen ensimmäinen älykkäille sopimuksille rakennettu riskirahasto. Käyttäjät tallettivat ETH:ta ja saivat DAO-tokeneita äänestääkseen siitä, mihin rahat menisivät. Yhteensä se keräsi 150 miljoonaa dollaria 11 000 ihmiseltä – 15 % kaikesta tuolloisesta 🔷 ETH:sta Missä haavoittuvuus oli? SplitDAO-toiminnossa oli virhe – sen avulla käyttäjä pystyi "jakamaan" ja luomaan uuden ali-DAO:n osalla varoista. Mutta se ei sisältänyt suojausta uudelleenpääsyhyökkäykseltä – eräänlaiselta hyväksikäytöltä, jossa funktiota kutsutaan toistuvasti ennen saldon päivittämistä 😳 Näin hyökkäys toimi: • Hyökkääjä käynnisti splitDAO:n luodakseen ali-DAO:n • Sitten kutsui sitä rekursiivisesti – kymmeniä kertoja – ennen kuin saldo päivittyi • Sopimuksessa ei tarkistettu, oliko varoja jo nostettu, joten niitä vain tuli Periaatteessa se oli kuin rikkinäinen pankkiautomaatti, joka antoi käteistä yhä uudelleen ja uudelleen, kunnes se tajusi olevansa tyhjä 🎰 Miten se korjattiin? Ethereum-yhteisöllä oli kaksi vaihtoehtoa: A) Anna sen olla ja anna hakkerin kävellä pois 60 miljoonan 😱 dollarin kanssa B) Palauta lohkoketju ennen hakkerointia 🔙 He valitsivat vaihtoehdon B. Tämä johti kovaan haarukkaan ja kahteen erilliseen ketjuun: • Ethereum (ETH) – palautuksella ja hyvityksillä • Ethereum Classic (ETC) – alkuperäinen ketju, jossa koodi pysyi muuttumattomana Mikä muuttui tämän jälkeen? 1️⃣ Reentrancysta tuli tunnettu hyökkäysvektori → Nyt yksi ensimmäisistä asioista, joita tilintarkastajat tarkistavat 2️⃣ Tilintarkastusyrityksistä, kuten OpenZeppelinistä ja Trail of Bitsistä, tuli alan standardeja → Mikään vakavasti otettava projekti ei käynnistä älykkäitä sopimuksia ilman auditointia 3️⃣ DAO-kehykset, kuten XDAO, Aragon ja DAOstack, syntyivät → Kukaan ei enää kirjoita DAO-koodia tyhjästä 4️⃣ UX- ja hallintoturvallisuutta parannettu → Rooleilla, monitoimilla, kulutusrajoilla, rae quitillä ja muulla Miksi XDAO on suojattu tällaisilta skenaarioilta Tärkein ero: auditoinnit ✅ DAO:n suurin puute oli lanseeraus ilman täydellistä auditointia – ja juuri näin virhe jäi huomaamatta. XDAO-kehyksen ovat tarkastaneet riippumattomat tietoturvayritykset, kuten Hacken ja Pessimistic. Sitä käytetään jo 40+ lohkoketjussa ja tuhansissa todellisissa DAO:issa. Myös XDAO:n älykkäät sopimukset TONissa tarkastetaan pian 🫡 Suljettu, turvallinen käyttöliittymä ✅ DAO:ssa käyttäjät voivat olla suoraan vuorovaikutuksessa sopimuksen kanssa – laukaista vaarallisia toimintoja tarkoituksella tai vahingossa. XDAO:ssa kaikki toiminnot kulkevat Telegram-käyttöliittymän kautta vain turvallisilla, ennalta hyväksytyillä toiminnoilla. Matalan tason sopimusfunktioita ei voi kutsua manuaalisesti🔓 Ei kriittisiä toimintoja, kuten splitDAO ✅ DAO:ssa oli ominaisuus, jonka avulla kuka tahansa voi jakautua ja ottaa osan kassasta. XDAO ei salli sitä – kaikki rahastojen liikkeet edellyttävät äänestämistä tai multisigia, ja DAO:n käyttäytyminen asetetaan selvästi luotaessa. Arkaluonteisia osia suojaavat roolit, rajoitukset ja validointisäännöt 🖥 XDAO ei ole MVP – se on kypsä tuote ✅ Se on käynyt läpi tarkastuksia, kymmeniä julkaisuja, käyttöönoton 40+ ketjussa ja satojen tuhansien DAO:iden stressitestauksen. Tämä on vankka infrastruktuuri – ja juuri se, minkä varaan rakennamme TONia ⚙ varten Johtopäätös DAO oli edelläkävijä – ja oman uutuutensa uhri. Sen epäonnistuminen oli käännekohta teollisuudelle. Nyt on vuosi 2025. Yhdeksässä vuodessa kaikki, mikä kerran epäonnistui, on rakennettu uudelleen alusta alkaen: arkkitehtuuri, tarkastuskäytännöt, rajapinnat, oikeudellinen selkeys ja kollektiivinen kokemus. Kaikki, mikä oli kohtalokasta vuonna 2016, on vahvistettu XDAO:ssa tänään 🤩