Що насправді сталося з The DAO у 2016 році? 🍒 DAO став першим в історії венчурним фондом, побудованим на смарт-контрактах. Користувачі вносили ETH та отримували токени DAO для голосування щодо того, куди мають піти гроші. Загалом він залучив $150 млн від 11 000 людей — 15% від усіх ETH на той час 🔷 Де була вразливість? У функції splitDAO був баг — вона дозволяла користувачеві «відщепитися» і створити новий sub-DAO з частиною коштів. Але він не включав захист від атаки повторного входу — типу експлойту, коли функція викликається багаторазово до оновлення балансу 😳 Як проходила атака: • Зловмисник запустив splitDAO для створення sub-DAO • Потім викликав його рекурсивно — десятки разів — до оновлення балансу • У договорі не перевірялося, чи вже були виведені кошти, тому вони просто продовжували надходити По суті, це було схоже на зламаний банкомат, який видавав готівку знову і знову, поки не зрозумів, що він порожній 🎰 Як це виправили? У спільноти Ethereum було два варіанти: А) Залиште це і дозвольте хакеру піти з 60 мільйонами 😱 доларів Б) Відкат блокчейна до того, що було до злому 🔙 Вони обрали варіант Б. Це призвело до хардфорку та двох окремих ланцюгів: • Ethereum (ETH) — з відкатом і поверненням коштів • Ethereum Classic (ETC) — оригінальний ланцюжок, де код залишився незмінним Що змінилося після цього? 1️⃣ Повторне входження стало відомим вектором атаки → Тепер одна з перших речей, які перевіряють аудитори 2️⃣ Аудиторські фірми, такі як OpenZeppelin і Trail of Bits, стали галузевими стандартами → Жоден серйозний проект не запускає смарт-контракти без аудиту 3️⃣ З'явилися фреймворки DAO, такі як XDAO, Aragon і DAOstack → Більше ніхто не пише код DAO з нуля 4️⃣ Покращено UX та безпеку управління → З ролями, мультипідписом, лімітами витрат, відмовою від гніву тощо Чому XDAO захищений від такого сценарію Ключова відмінність: аудити ✅ Найбільшим недоліком DAO був запуск без повного аудиту — і саме так баг залишився непоміченим. Фреймворк XDAO був перевірений незалежними охоронними фірмами, такими як Hacken і Pessimistic. Він вже використовується в 40+ блокчейнах і тисячах реальних DAO. Також найближчим часом 🫡 буде проведено аудит смарт-контрактів для XDAO на TON Закритий, безпечний інтерфейс ✅ У DAO користувачі можуть безпосередньо взаємодіяти з контрактом, запускаючи небезпечні функції навмисно або помилково. У XDAO всі дії проходять через інтерфейс Telegram лише з безпечними, попередньо схваленими операціями. Ви не можете викликати низькорівневі контрактні функції вручну🔓 Немає критично важливих функцій на кшталт splitDAO ✅ У DAO була функція, яка дозволяла будь-кому відокремитися і забрати частину скарбниці. XDAO цього не дозволяє — усі рухи коштів вимагають голосування або мультипідпису, а поведінка DAO чітко задається під час створення. Чутливі частини захищені ролями, лімітами та правилами 🖥 перевірки XDAO — це не MVP — це зрілий продукт ✅ Вона пройшла аудити, десятки релізів, впровадження в 40+ ланцюжках і стрес-тестування сотнями тисяч DAO. Це надійна інфраструктура — і саме те, на чому ми спираємося для TON ⚙ Висновок DAO була першопрохідцем — і жертвою власної новизни. Його провал став переломним моментом для галузі. Зараз на дворі 2025 рік. За 9 років все, що колись не вдавалося, було перебудовано з нуля: архітектура, аудиторські практики, інтерфейси, юридична чіткість, колективний досвід. Все, що було фатальним у 2016 році, сьогодні укріплено в XDAO 🤩