Что действительно произошло с The DAO в 2016 году? 🍒 The DAO был первым в мире венчурным фондом, построенным на смарт-контрактах. Пользователи вносили ETH и получали токены DAO для голосования о том, куда должны идти деньги. В общей сложности он собрал $150M от 11,000 человек — 15% всех ETH на тот момент 🔷 Где была уязвимость? В функции splitDAO был баг — он позволял пользователю «отделиться» и создать новый суб-DAO с частью средств. Но он не включал защиту от атаки повторного входа — типа эксплойта, где функция вызывается многократно до обновления баланса 😳 Как работала атака: • Злоумышленник активировал splitDAO для создания суб-DAO • Затем вызывал его рекурсивно — десятки раз — до обновления баланса • Контракт не проверял, были ли средства уже выведены, поэтому они продолжали поступать По сути, это было как сломанный банкомат, выдающий наличные снова и снова, пока не осознает, что он пуст 🎰 Как это было исправлено? У сообщества Ethereum было два варианта: A) Оставить все как есть и позволить хакеру уйти с $60M 😱 B) Откатить блокчейн до момента перед взломом 🔙 Они выбрали вариант B. Это привело к хардфорку и двум отдельным цепям: • Ethereum (ETH) — с откатом и возвратами • Ethereum Classic (ETC) — оригинальная цепь, где код остался неизменным Что изменилось после этого? 1️⃣ Повторный вход стал известным вектором атаки → Теперь это одна из первых вещей, которую проверяют аудиторы 2️⃣ Аудиторские фирмы, такие как OpenZeppelin и Trail of Bits, стали отраслевыми стандартами → Ни один серьезный проект не запускает смарт-контракты без аудита 3️⃣ Появились фреймворки DAO, такие как XDAO, Aragon и DAOstack → Никто больше не пишет код DAO с нуля 4️⃣ Улучшилась безопасность UX и управления → С ролями, мультисигом, лимитами расходов, функцией «яростного выхода» и многим другим Почему XDAO защищен от такого рода сценариев Ключевое отличие: аудиты ✅ Самым большим недостатком The DAO было запуск без полного аудита — и именно поэтому баг остался незамеченным. Фреймворк XDAO был проверен независимыми фирмами безопасности, такими как Hacken и Pessimistic. Он уже используется в 40+ блокчейнах и тысячах реальных DAO. Смарт-контракты для XDAO на TON также скоро будут проверены 🫡 Закрытый, безопасный интерфейс ✅ В The DAO пользователи могли взаимодействовать напрямую с контрактом — намеренно или случайно вызывая опасные функции. В XDAO все действия проходят через интерфейс Telegram с только безопасными, предварительно утвержденными операциями. Вы не можете вручную вызывать низкоуровневые функции контракта🔓 Нет критических функций, таких как splitDAO ✅ В The DAO была функция, позволяющая любому отделиться и забрать часть казны. XDAO этого не позволяет — все перемещения средств требуют голосования или мультисиг, а поведение DAO четко устанавливается при создании. Чувствительные части защищены ролями, лимитами и правилами проверки 🖥 XDAO не является MVP — это зрелый продукт ✅ Он прошел аудиты, десятки релизов, принятие в 40+ цепях и стресс-тестирование сотнями тысяч DAO. Это надежная инфраструктура — и именно на ней мы строим для TON ⚙ Заключение The DAO был пионером — и жертвой своей новизны. Его провал стал поворотным моментом для индустрии. Сейчас 2025 год. За 9 лет все, что когда-то провалилось, было перестроено с нуля: архитектура, практики аудита, интерфейсы, юридическая ясность и коллективный опыт. Все, что было фатальным в 2016 году, сегодня укреплено в XDAO 🤩