Vad hände egentligen med DAO 2016? 🍒 DAO var den första riskkapitalfonden någonsin som byggde på smarta kontrakt. Användare satte in ETH och fick DAO-tokens för att rösta om vart pengarna skulle gå. Totalt samlade det in 150 miljoner dollar från 11 000 personer – 15 % av all ETH vid den tiden 🔷 Var fanns sårbarheten? Det fanns en bugg i splitDAO-funktionen – den gjorde det möjligt för en användare att "dela av" och skapa en ny sub-DAO med en del av pengarna. Men det inkluderade inte skydd mot en reentrancy-attack – en typ av exploatering där en funktion anropas upprepade gånger innan saldot uppdateras 😳 Så här gick attacken till: • Angriparen utlöste splitDAO för att skapa en sub-DAO • Ringde det sedan rekursivt – dussintals gånger – innan saldot uppdaterades • Kontraktet kontrollerade inte om pengarna redan hade tagits ut, så de fortsatte bara att komma I princip var det som en trasig uttagsautomat som gav ut kontanter om och om igen tills den insåg att den var tom 🎰 Hur fixades det? Ethereum-communityt hade två alternativ: A) Låt det vara och låt hackaren gå därifrån med 60 miljoner 😱 dollar B) Rulla tillbaka blockkedjan till före hacket 🔙 De valde alternativ B. Detta ledde till en hård gaffel och två separata kedjor: • Ethereum (ETH) – med återställning och återbetalningar • Ethereum Classic (ETC) – den ursprungliga kedjan, där koden förblev oförändrad Vad förändrades efter detta? 1️⃣ Reentrancy blev en välkänd attackvektor → Nu är en av de första sakerna som revisorer kontrollerar 2️⃣ Revisionsbyråer som OpenZeppelin och Trail of Bits blev branschstandarder → Inget seriöst projekt lanserar smarta kontrakt utan revision 3️⃣ DAO-ramverk som XDAO, Aragon och DAOstack dök upp → Ingen skriver DAO-kod från grunden längre 4️⃣ UX- och styrningssäkerhet har förbättrats → Med roller, multisig, utgiftsgränser, rage quit och mer Varför XDAO är skyddat från den här typen av scenarier Den viktigaste skillnaden: revisioner ✅ DAO:s största brist var att den lanserades utan en fullständig revision – och det var precis så buggen gick obemärkt förbi. XDAO-ramverket har granskats av oberoende säkerhetsföretag som Hacken och Pessimistic. Den används redan i 40+ blockkedjor och tusentals riktiga DAO:er. De smarta kontrakten för XDAO på TON kommer också att granskas snart 🫡 Stängt, säkert gränssnitt ✅ I DAO kan användare interagera direkt med kontraktet – vilket utlöser farliga funktioner avsiktligt eller av misstag. I XDAO går alla åtgärder genom ett Telegram-gränssnitt med endast säkra, förgodkända operationer. Du kan inte anropa kontraktsfunktioner på låg nivå manuellt🔓 Inga kritiska funktioner som splitDAO ✅ DAO hade en funktion som gjorde det möjligt för vem som helst att dela upp och ta en del av statskassan. XDAO tillåter inte det – alla fondrörelser kräver röstning eller multisig, och DAO-beteendet är tydligt inställt vid skapandet. Känsliga delar skyddas av roller, gränser och valideringsregler 🖥 XDAO är inte en MVP – det är en mogen produkt ✅ Den har gått igenom revisioner, dussintals utgåvor, antagande i 40+ kedjor och stresstestats av hundratusentals DAO:er. Det här är en robust infrastruktur – och precis vad vi bygger vidare på för TON ⚙ Slutsats DAO var en pionjär – och ett offer för sin egen nyhet. Dess misslyckande var en vändpunkt för branschen. Nu är det 2025. På 9 år har allt som en gång misslyckades byggts upp från grunden: arkitektur, revisionspraxis, gränssnitt, rättslig klarhet och kollektiv erfarenhet. Allt som var dödligt 2016 är befäst i XDAO idag 🤩