2016年The DAO到底发生了什么？🍒 The DAO是第一个基于智能合约的风险基金。用户存入ETH并获得DAO代币，以投票决定资金的去向。总共筹集了1.5亿美元，来自11,000人——当时占所有ETH的15%🔷 漏洞在哪里？ splitDAO函数中存在一个漏洞——它允许用户“分离”并创建一个新的子DAO，带走部分资金。但它没有包括防止重入攻击的保护——一种在余额更新之前反复调用函数的攻击类型😳 攻击是如何进行的： • 攻击者触发splitDAO创建子DAO • 然后递归调用——几十次——在余额更新之前 • 合约没有检查资金是否已被提取，所以资金不断流出 基本上，这就像一个坏掉的ATM不断吐出现金，直到意识到它已经空了🎰 如何解决？ 以太坊社区有两个选择： A) 不管它，让黑客带走6000万美元😱 B) 回滚区块链到攻击之前🔙 他们选择了选项B。这导致了硬分叉和两个独立的链： • 以太坊（ETH）——进行了回滚和退款 • 以太坊经典（ETC）——原始链，代码保持不变 之后发生了什么变化？ 1️⃣ 重入攻击成为一个众所周知的攻击向量 → 现在是审计员检查的首要事项之一 2️⃣ 像OpenZeppelin和Trail of Bits这样的审计公司成为行业标准 → 没有严肃的项目在没有审计的情况下启动智能合约 3️⃣ 像XDAO、Aragon和DAOstack这样的DAO框架出现 → 没有人再从头编写DAO代码 4️⃣ 用户体验和治理安全性得到改善 → 角色、多签、支出限制、愤怒退出等 为什么XDAO能防止这种情况 关键区别：审计✅ The DAO最大的缺陷是没有进行全面审计就启动——这正是漏洞未被发现的原因。 XDAO框架已被独立安全公司如Hacken和Pessimistic审计。它已经在40多个区块链和数千个真实DAO中使用。XDAO在TON上的智能合约也将很快进行审计🫡 封闭、安全的界面✅ 在The DAO中，用户可以直接与合约交互——故意或错误地触发危险功能。在XDAO中，所有操作都通过Telegram界面进行，只有安全、预先批准的操作。您不能手动调用低级合约功能🔓 没有像splitDAO这样的关键功能✅ The DAO有一个功能允许任何人分离并带走一部分资金。XDAO不允许这样——所有资金移动都需要投票或多签，DAO行为在创建时明确设定。敏感部分由角色、限制和验证规则保护🖥 XDAO不是一个MVP——它是一个成熟的产品✅ 它已经通过审计、几十次发布、在40多个链上的采用，并经过数十万个DAO的压力测试。 这是坚实的基础设施——正是我们在TON上构建的⚙ 结论 The DAO是一个先驱——也是其自身新颖性的受害者。 它的失败是行业的转折点。现在是2025年。在9年中，所有曾经失败的东西都从头开始重建：架构、审计实践、界面、法律清晰度和集体经验。2016年致命的东西今天在XDAO中得到了加固🤩