Que s’est-il vraiment passé avec The DAO en 2016 ? 🍒 Le DAO a été le tout premier fonds de capital-risque construit sur des contrats intelligents. Les utilisateurs ont déposé des ETH et reçu des jetons DAO pour voter sur l’endroit où l’argent devait aller. Au total, elle a levé 150 millions de dollars auprès de 11 000 personnes, soit 15 % de tous les ETH de l’époque 🔷 Où était la vulnérabilité ? Il y avait un bogue dans la fonction splitDAO - elle permettait à un utilisateur de « séparer » et de créer une nouvelle sous-DAO avec une partie des fonds. Mais il n’incluait pas de protection contre une attaque de réentrée – un type d’exploit où une fonction est appelée à plusieurs reprises avant que le solde ne soit mis à jour 😳 Comment l’attaque s’est déroulée : • L’attaquant a déclenché splitDAO pour créer une sous-DAO • Ensuite, il l’a appelé de manière récursive – des dizaines de fois – avant que le solde ne soit mis à jour • Le contrat ne vérifiait pas si les fonds avaient déjà été retirés, alors ils continuaient à arriver En gros, c’était comme un distributeur automatique de billets en panne qui distribuait de l’argent encore et encore jusqu’à ce qu’il se rende compte qu’il était vide 🎰 Comment a-t-il été réparé ? La communauté Ethereum avait deux options : A) Laissez-le faire et laissez le pirate s’en aller avec 60 millions de dollars 😱 B) Revenir en arrière de la blockchain avant le piratage 🔙 Ils ont choisi l’option B. Cela a conduit à un hard fork et à deux chaînes distinctes : • Ethereum (ETH) — avec le rollback et les remboursements • Ethereum Classic (ETC) : la chaîne d’origine, où le code est resté inchangé Qu’est-ce qui a changé après cela ? 1️⃣ La réentrée est devenue un vecteur d’attaque bien connu → L’une des premières choses que les auditeurs vérifient 2️⃣ Les cabinets d’audit comme OpenZeppelin et Trail of Bits sont devenus des standards de l’industrie → Aucun projet sérieux ne lance de smart contracts sans audit 3️⃣ Des frameworks DAO tels que XDAO, Aragon et DAOstack ont émergé → Plus personne n’écrit de code DAO à partir de zéro 4️⃣ Amélioration de la sécurité UX et de la gouvernance → Avec les rôles, le multisig, les limites de dépenses, le rage quit, etc. Pourquoi XDAO est-il protégé contre ce genre de scénario ? La principale différence : les audits ✅ Le plus gros défaut de la DAO était de le lancer sans un audit complet - et c’est exactement ainsi que le bug est passé inaperçu. Le cadre XDAO a été audité par des sociétés de sécurité indépendantes telles que Hacken et Pessimistic. Il est déjà utilisé dans 40+ blockchains et des milliers de DAO réelles. Les contrats intelligents pour XDAO sur TON seront également audités prochainement 🫡 Interface ✅ fermée et sécurisée Dans la DAO, les utilisateurs pouvaient interagir directement avec le contrat, déclenchant ainsi des fonctions dangereuses intentionnellement ou par erreur. Dans XDAO, toutes les actions passent par une interface Telegram avec uniquement des opérations sûres et pré-approuvées. Vous ne pouvez pas appeler manuellement🔓 des fonctions de contrat de bas niveau Pas de fonctions critiques comme splitDAO ✅ La DAO avait une fonctionnalité qui permettait à n’importe qui de se séparer et de prendre une partie de la trésorerie. XDAO ne le permet pas : tous les mouvements de fonds nécessitent un vote ou un multisig, et le comportement des DAO est clairement défini lors de la création. Les pièces sensibles sont protégées par des rôles, des limites et des règles 🖥 de validation XDAO n’est pas un MVP, c’est un produit ✅ mature Il a fait l’objet d’audits, de dizaines de versions, d’une adoption dans 40+ chaînes et de tests de résistance par des centaines de milliers de DAO. Il s’agit d’une infrastructure robuste, et c’est exactement ce sur quoi nous nous appuyons pour TON ⚙ Conclusion La DAO a été un pionnier – et une victime de sa propre nouveauté. Son échec a été un tournant pour l’industrie. Nous sommes maintenant en 2025. En 9 ans, tout ce qui avait échoué a été reconstruit de fond en comble : architecture, pratiques d’audit, interfaces, clarté juridique et expérience collective. Tout ce qui a été fatal en 2016 est aujourd’hui 🤩 renforcé par XDAO