Cosa è successo davvero con The DAO nel 2016? 🍒 The DAO è stato il primo fondo di venture capital in assoluto costruito su contratti intelligenti. Gli utenti hanno depositato ETH e ricevuto token DAO per votare dove dovrebbero andare i soldi. In totale, ha raccolto 150 milioni di dollari da 11.000 persone, il 15% di tutti gli ETH dell'epoca 🔷 Dov'era la vulnerabilità? C'era un bug nella funzione splitDAO: permetteva a un utente di "dividersi" e creare una nuova sub-DAO con una parte dei fondi. Ma non includeva la protezione da un attacco di rientro, un tipo di exploit in cui una funzione viene chiamata ripetutamente prima che il saldo venga aggiornato 😳 Come ha funzionato l'attacco: • L'aggressore ha attivato splitDAO per creare un sub-DAO • Poi l'ha chiamato ricorsivamente, dozzine di volte, prima che il saldo si aggiornasse • Il contratto non controllava se i fondi erano già stati prelevati, quindi continuavano ad arrivare Fondamentalmente, era come un bancomat rotto che distribuiva contanti più e più volte fino a quando non si rendeva conto di essere vuoto 🎰 Come è stato risolto? La comunità di Ethereum aveva due opzioni: A) Lascia stare e lascia che l'hacker se ne vada con 60 milioni di 😱 dollari B) Ripristinare la blockchain a prima dell'hack 🔙 Hanno scelto l'opzione B. Questo ha portato a un hard fork e a due catene separate: • Ethereum (ETH) — con rollback e rimborsi • Ethereum Classic (ETC) — la catena originale, in cui il codice è rimasto invariato Cosa è cambiato dopo? 1️⃣ Il rientro è diventato un noto vettore di attacco → Ora una delle prime cose che i revisori controllano 2️⃣ Società di revisione come OpenZeppelin e Trail of Bits sono diventate standard del settore → Nessun progetto serio lancia contratti intelligenti senza un audit 3️⃣ Sono emersi framework DAO come XDAO, Aragon e DAOstack → Nessuno scrive più codice DAO da zero 4️⃣ Miglioramento della sicurezza UX e della governance → Con ruoli, multisig, limiti di spesa, rage quit e altro ancora Perché XDAO è protetto da questo tipo di scenario La differenza fondamentale: gli ✅ audit Il più grande difetto della DAO è stato il lancio senza un audit completo, ed è esattamente così che il bug è passato inosservato. Il framework XDAO è stato verificato da società di sicurezza indipendenti come Hacken e Pessimistic. È già utilizzato in 40+ blockchain e migliaia di vere DAO. Anche gli smart contract per XDAO su TON saranno presto 🫡 verificati Interfaccia ✅ chiusa e sicura In The DAO, gli utenti potevano interagire direttamente con il contratto, attivando funzioni pericolose intenzionalmente o per errore. In XDAO, tutte le azioni passano attraverso un'interfaccia Telegram con solo operazioni sicure e pre-approvate. Non è possibile chiamare manualmente🔓 le funzioni del contratto di basso livello Nessuna funzione critica come splitDAO ✅ La DAO aveva una funzione che permetteva a chiunque di separarsi e prendere una parte del tesoro. XDAO non lo consente: tutti i movimenti di fondi richiedono il voto o il multisig e il comportamento della DAO è impostato chiaramente al momento della creazione. Le parti sensibili sono protette da ruoli, limiti e regole 🖥 di convalida XDAO non è un MVP, è un prodotto ✅ maturo È stato sottoposto a verifiche, dozzine di rilasci, adozione in 40+ catene e stress test da centinaia di migliaia di DAO. Si tratta di un'infrastruttura robusta, ed è esattamente ciò su cui stiamo costruendo per TON ⚙ Conclusione La DAO è stata un pioniere e una vittima della sua stessa novità. Il suo fallimento è stato un punto di svolta per l'industria. Ora è il 2025. In 9 anni, tutto ciò che una volta falliva è stato ricostruito da zero: architettura, pratiche di audit, interfacce, chiarezza giuridica ed esperienza collettiva. Tutto ciò che è stato fatale nel 2016 è fortificato oggi in XDAO 🤩