Điều gì thực sự đã xảy ra với The DAO vào năm 2016? 🍒 The DAO là quỹ đầu tư mạo hiểm đầu tiên được xây dựng trên hợp đồng thông minh. Người dùng gửi ETH và nhận token DAO để bỏ phiếu quyết định nơi tiền sẽ được sử dụng. Tổng cộng, nó đã huy động được 150 triệu USD từ 11.000 người — chiếm 15% tổng số ETH vào thời điểm đó 🔷 Lỗ hổng nằm ở đâu? Có một lỗi trong hàm splitDAO — nó cho phép một người dùng "tách ra" và tạo một sub-DAO mới với một phần quỹ. Nhưng nó không bao gồm bảo vệ khỏi cuộc tấn công tái nhập — một loại khai thác mà một hàm được gọi lặp đi lặp lại trước khi số dư được cập nhật 😳 Cách cuộc tấn công hoạt động: • Kẻ tấn công kích hoạt splitDAO để tạo một sub-DAO • Sau đó gọi nó lặp đi lặp lại — hàng chục lần — trước khi số dư được cập nhật • Hợp đồng không kiểm tra xem quỹ đã được rút hay chưa, vì vậy tiền cứ tiếp tục được rút Về cơ bản, nó giống như một máy ATM bị hỏng liên tục phát tiền cho đến khi nhận ra nó đã hết tiền 🎰 Làm thế nào để khắc phục? Cộng đồng Ethereum có hai lựa chọn: A) Để nguyên và để hacker lấy đi 60 triệu USD 😱 B) Quay lại blockchain trước khi xảy ra vụ hack 🔙 Họ đã chọn phương án B. Điều này dẫn đến một hard fork và hai chuỗi riêng biệt: • Ethereum (ETH) — với việc quay lại và hoàn tiền • Ethereum Classic (ETC) — chuỗi gốc, nơi mã không thay đổi Điều gì đã thay đổi sau đó? 1️⃣ Tấn công tái nhập trở thành một vector tấn công nổi tiếng → Bây giờ là một trong những điều đầu tiên mà các kiểm toán viên kiểm tra 2️⃣ Các công ty kiểm toán như OpenZeppelin và Trail of Bits trở thành tiêu chuẩn ngành → Không dự án nghiêm túc nào ra mắt hợp đồng thông minh mà không qua kiểm toán 3️⃣ Các khung DAO như XDAO, Aragon và DAOstack xuất hiện → Không ai viết mã DAO từ đầu nữa 4️⃣ UX và bảo mật quản trị được cải thiện → Với vai trò, multisig, giới hạn chi tiêu, rage quit và nhiều hơn nữa Tại sao XDAO được bảo vệ khỏi kịch bản này Sự khác biệt chính: kiểm toán ✅ Sai lầm lớn nhất của The DAO là ra mắt mà không có kiểm toán đầy đủ — và đó chính là lý do lỗi không được phát hiện. Khung XDAO đã được kiểm toán bởi các công ty bảo mật độc lập như Hacken và Pessimistic. Nó đã được sử dụng trên hơn 40 blockchain và hàng ngàn DAO thực tế. Các hợp đồng thông minh cho XDAO trên TON cũng sẽ sớm được kiểm toán 🫡 Giao diện đóng, an toàn ✅ Trong The DAO, người dùng có thể tương tác trực tiếp với hợp đồng — kích hoạt các hàm nguy hiểm một cách cố ý hoặc vô tình. Trong XDAO, tất cả các hành động đều thông qua giao diện Telegram với các thao tác an toàn, được phê duyệt trước. Bạn không thể gọi các hàm hợp đồng cấp thấp một cách thủ công 🔓 Không có các hàm quan trọng như splitDAO ✅ The DAO có một tính năng cho phép bất kỳ ai tách ra và lấy một phần ngân quỹ. XDAO không cho phép điều đó — tất cả các chuyển động quỹ đều yêu cầu bỏ phiếu hoặc multisig, và hành vi của DAO được thiết lập rõ ràng khi tạo. Các phần nhạy cảm được bảo vệ bởi vai trò, giới hạn và quy tắc xác thực 🖥 XDAO không phải là một MVP — nó là một sản phẩm trưởng thành ✅ Nó đã trải qua kiểm toán, hàng chục lần phát hành, được chấp nhận trên hơn 40 chuỗi, và được kiểm tra căng thẳng bởi hàng trăm ngàn DAO. Đây là cơ sở hạ tầng mạnh mẽ — và chính xác là những gì chúng tôi đang xây dựng trên TON ⚙ Kết luận The DAO là một người tiên phong — và là nạn nhân của sự mới mẻ của chính nó. Thất bại của nó là một bước ngoặt cho ngành. Bây giờ là năm 2025. Trong 9 năm, mọi thứ từng thất bại đã được xây dựng lại từ đầu: kiến trúc, thực hành kiểm toán, giao diện, sự rõ ràng pháp lý và kinh nghiệm tập thể. Mọi thứ từng gây tử vong vào năm 2016 đều được củng cố trong XDAO ngày nay 🤩