Co tak naprawdę stało się z DAO w 2016 roku? 🍒 DAO był pierwszym w historii funduszem venture zbudowanym na inteligentnych kontraktach. Użytkownicy zdeponowali ETH i otrzymali tokeny DAO, aby głosować na to, gdzie powinny trafić pieniądze. W sumie zebrał 150 milionów dolarów od 11 000 osób – 15% wszystkich ETH w tym czasie 🔷 Gdzie była luka w zabezpieczeniach? W funkcji splitDAO wystąpił błąd — pozwalała ona użytkownikowi "oddzielić się" i utworzyć nowe sub-DAO z częścią środków. Nie obejmował on jednak ochrony przed atakiem reentrancy – rodzajem exploita, w którym funkcja jest wywoływana wielokrotnie przed aktualizacją 😳 salda Jak przebiegał atak: • Atakujący uruchomił splitDAO, aby utworzyć sub-DAO • Następnie wywołał go rekurencyjnie — dziesiątki razy — zanim saldo zostało zaktualizowane • Kontrakt nie sprawdzał, czy środki zostały już wypłacone, więc po prostu przychodziły Zasadniczo było to jak zepsuty bankomat, który w kółko rozdaje gotówkę, dopóki nie zdał sobie sprawy, że jest pusty 🎰 Jak to naprawiono? Społeczność Ethereum miała dwie opcje: A) Zostaw to w spokoju i pozwól hakerowi odejść z 60 milionami 😱 dolarów B) Przywróć blockchain do stanu sprzed włamania 🔙 Zdecydowali się na wariant B. Doprowadziło to do hard forka i dwóch oddzielnych łańcuchów: • Ethereum (ETH) — z wycofaniem i zwrotami • Ethereum Classic (ETC) — oryginalny łańcuch, w którym kod pozostał niezmieniony Co się zmieniło po tym? 1️⃣ Reentrancy stała się dobrze znanym wektorem ataku → Teraz jedna z pierwszych rzeczy, które sprawdzają audytorzy 2️⃣ Firmy audytorskie, takie jak OpenZeppelin i Trail of Bits, stały się standardami w branży → Żaden poważny projekt nie uruchamia inteligentnych kontraktów bez audytu 3️⃣ Pojawiły się frameworki DAO, takie jak XDAO, Aragon i DAOstack → Nikt już nie pisze kodu DAO od zera 4️⃣ Ulepszone zabezpieczenia UX i ładu → Z rolami, multisig, limitami wydatków, wściekłością i nie tylko Dlaczego XDAO jest chronione przed tego rodzaju scenariuszem Najważniejsza różnica: audyty ✅ Największą wadą DAO było uruchomienie bez pełnego audytu – i właśnie w ten sposób błąd pozostał niezauważony. Framework XDAO został skontrolowany przez niezależne firmy zajmujące się bezpieczeństwem, takie jak Hacken i Pessimistic. Jest już używany w 40+ blockchainach i tysiącach prawdziwych DAO. Inteligentne kontrakty dla XDAO na TON również zostaną wkrótce 🫡 poddane audytowi Zamknięty, bezpieczny interfejs ✅ W DAO użytkownicy mogli wchodzić w bezpośrednią interakcję z kontraktem – uruchamiając niebezpieczne funkcje celowo lub przez pomyłkę. W XDAO wszystkie działania przechodzą przez interfejs Telegrama z tylko bezpiecznymi, wstępnie zatwierdzonymi operacjami. Nie można ręcznie🔓 wywoływać funkcji kontraktów niskiego poziomu Brak krytycznych funkcji, takich jak splitDAO ✅ DAO miało funkcję, która pozwalała każdemu oddzielić się i zabrać część skarbca. XDAO na to nie pozwala — wszystkie ruchy funduszy wymagają głosowania lub multisig, a zachowanie DAO jest jasno określone podczas tworzenia. Wrażliwe części są chronione przez role, limity i reguły 🖥 walidacji XDAO nie jest MVP — to dojrzały produkt ✅ Przeszedł audyty, dziesiątki wydań, adopcję w 40+ łańcuchach i testy warunków skrajnych przez setki tysięcy DAO. To solidna infrastruktura — i dokładnie to, na czym budujemy dla TON ⚙ Konkluzja DAO było pionierem – i ofiarą własnej nowości. Jego upadek był punktem zwrotnym dla branży. Teraz jest rok 2025. W ciągu 9 lat wszystko, co kiedyś zawiodło, zostało odbudowane od podstaw: architektura, praktyki audytowe, interfejsy, jasność prawa i zbiorowe doświadczenie. Wszystko, co było śmiertelne w 2016 roku, jest dziś 🤩 ufortyfikowane w XDAO