2016年 The DAO 到底發生了什麼？🍒 DAO 是有史以來第一個建立在智能合約上的風險基金。使用者存入ETH並收到DAO代幣，以投票決定資金的去向。它總共從 11,000 人那裡籌集了 $150M——占當時🔷所有 ETH 的 15% 漏洞在哪裡？ splitDAO 函數中存在一個錯誤——它允許使用者“拆分”並使用部分資金創建一個新的子 DAO。但它不包括對重入攻擊的保護，重入攻擊是一種在更新😳餘額之前重複調用函數的漏洞利用 攻擊的工作原理： • 攻擊者觸發 splitDAO 創建子 DAO • 然後遞歸地調用它 — 數十次 — 在餘額更新之前 • 合同沒有檢查資金是否已經提取，所以他們只是不斷湧入 基本上，它就像一台壞掉的 ATM 機，一遍又一遍地發放現金，直到它意識到自己是空🎰的 它是如何修復的？ 乙太坊社區有兩個選擇： A） 放任不管，讓駭客帶著 $60M 😱 走開 B） 將區塊鏈回滾到駭客攻擊🔙之前 他們選擇了選項 B。這導致了硬分叉和兩個獨立的鏈： • 乙太坊 （ETH） — 回滾和退款 • Ethereum Classic （ETC） — 原始鏈，代碼保持不變 此後發生了什麼變化？ 1️⃣ 重入性成為眾所周知的攻擊媒介 → 現在，審計師首先要檢查的事情之一 2️⃣ OpenZeppelin 和 Trail of Bits 等審計公司成為行業標準 → 沒有經過審計就啟動智慧合約的嚴肅專案 3️⃣ XDAO、Aragon 和 DAOstack 等 DAO 框架出現 → 沒有人再從頭開始編寫 DAO 代碼了 4️⃣ 用戶體驗和治理安全性得到改進 → 包含角色、多重簽名、支出限制、憤怒退出等 為什麼 XDAO 可以免受此類情況的影響 關鍵區別：審計 ✅ DAO 最大的缺陷是在沒有全面審計的情況下啟動——而這正是這個錯誤被忽視的原因。 XDAO 框架已經過Hacken和 Pessimistic等獨立安全公司的審計。它已經被 40+ 個區塊鏈和數千個真正的 DAO 所使用。TON 上的 XDAO 智慧合約也將很快進行審計 🫡 封閉、安全的介面 ✅ 在 The DAO 中，使用者可以直接與合約交互——有意或無意地觸發危險函數。在 XDAO 中，所有作都通過 Telegram 介面進行，只有安全的、預先批准的作。您不能手動🔓調用低級合約函數 沒有像splitDAO ✅這樣的關鍵功能 DAO 有一個功能，可以讓任何人分叉並拿走一大塊國庫。XDAO 不允許這樣做——所有資金變動都需要投票或多重簽名，並且 DAO 的行為在創建時就明確設定了。敏感部分由角色、限制和驗證規則🖥保護 XDAO 不是 MVP，而是一個成熟的產品 ✅ 它經歷了審計、數十次發佈、在 40+ 條鏈中採用，並經過了數十萬個 DAO 的壓力測試。 這是強大的基礎設施 — 這正是我們為 TON ⚙ 構建的 結論 DAO 是先驅，也是其自身新事物的受害者。 它的失敗是該行業的轉捩點。現在是 2025 年。在 9 年的時間里，曾經失敗的一切都從頭開始重建：架構、審計實踐、介面、法律清晰度和集體經驗。2016 年致命的一切都在今天的 🤩 XDAO 中得到了強化