O hack do DAO de 2016 explicado

O cenário: um DAO com 150M e uma base de código conhecidamente frágil

Um DAO — organização autónoma descentralizada — é uma entidade on-chain que detém fundos e age por lógica de smart contracts e votos de detentores de token. O The DAO (T maiúsculo, D maiúsculo) foi o exemplo inicial mais ambicioso. Foi construído pela slock.it e lançado na Ethereum em abril de 2016 com uma venda aberta que angariou mais de 11,5 milhões de ETH — cerca de 150M USD na altura e cerca de 14% de toda a ETH existente. Os detentores podiam votar quais propostas financiar, no pressuposto de que os retornos voltariam para eles.

O smart contract do The DAO era complexo. Vários investigadores de segurança tinham levantado em público preocupações sobre padrões específicos — sobretudo na função que permitia aos detentores separar a sua parte do DAO num DAO filho. O caminho relevante fazia uma chamada externa antes de atualizar o saldo interno, padrão hoje sabidamente perigoso: reentrancy. Foram propostas correções mas não foram implantadas antes da exploração.

Isto é educativo, não conselho financeiro. O hack do DAO importa porque as decisões tomadas em resposta moldaram para sempre o significado de "imutável" na Ethereum.

O que aconteceu mesmo: a drenagem e o fork

A exploração e a resposta desenrolaram-se durante semanas.

• 17 de junho de 2016. Um atacante começou a explorar o bug. O ataque chamou recursivamente a função split do The DAO antes de o contrato atualizar o saldo interno do atacante, permitindo levantamentos repetidos. Cerca de 3,6 milhões de ETH foram drenados para um DAO filho controlado pelo atacante.
• A peculiaridade dos 28 dias. A estrutura do The DAO obrigava os fundos drenados a permanecerem no DAO filho durante 28 dias antes de poderem sair. Isso deu à comunidade Ethereum uma janela para responder antes de o atacante gastar.
• Fim de junho de 2016: debate. Duas respostas em discussão. A primeira, um soft fork: alteração de regras que bloqueava transações com os fundos drenados, congelando o atacante. A segunda, um hard fork: alteração que movia os fundos drenados para um contrato de reembolso, do qual os detentores podiam retirar a sua ETH original.
• Tentativa e retirada do soft fork. Descobriu-se que a proposta de soft fork tinha uma vulnerabilidade que permitia ataque DoS aos mineiros Ethereum. Foi retirada.
• 20 de julho de 2016: hard fork executado. A comunidade executou um hard fork no bloco 1.920.000. O fork moveu a ETH drenada para um contrato de reembolso, permitindo aos detentores retirar a sua ETH original a taxa fixa.
• A divisão. Uma minoria de mineiros e utilizadores recusou o fork, alegando que a imutabilidade era a promessa central de uma blockchain e que intervir para reverter uma exploração criava um precedente perigoso. Continuaram a minerar e a usar a cadeia original. Essa cadeia passou a chamar-se Ethereum Classic (ETC). A cadeia forked — a que reembolsou — manteve o nome Ethereum (ETH) e o apoio da Ethereum Foundation.

O atacante, cuja identidade permanece formalmente não confirmada apesar de várias alegações investigativas, ficou com a ETH drenada na cadeia Ethereum Classic, que não reembolsou. O fork não desfez a exploração na ETC; apenas indemnizou os detentores dos tokens DAO na ETH.

Quem esteve envolvido

• Contribuidores do The DAO e slock.it. A equipa que construiu e divulgou o The DAO. Não foram os atacantes on-chain, mas o bug estava no seu código.
• Vitalik Buterin e a Ethereum Foundation. Defenderam o hard fork como a resposta que protegia mais utilizadores. A posição pública definiu de facto a direção da cadeia Ethereum.
• O atacante. Identidade formalmente não confirmada. Um artigo investigativo da Forbes em 2022 nomeou um indivíduo como suspeito, mas a alegação é disputada e não houve condenação criminal.
• A minoria que se tornou Ethereum Classic. Um grupo de mineiros, programadores e utilizadores que recusou o fork por princípio, defendendo que a imutabilidade importa mais que qualquer recuperação. Inclui programadores que construíram e mantiveram a ETC como cadeia separada.
• Detentores dos tokens DAO. Cerca de 11.000 carteiras detinham tokens DAO. Após o hard fork, puderam retirar a sua ETH original do contrato de reembolso na ETH.

O depois: duas cadeias, um vocabulário e um campo de investigação

O impacto do hack do DAO foi muito além de junho de 2016.

• Duas cadeias. Ethereum (ETH) e Ethereum Classic (ETC) continuaram a operar desde 2016. As avaliações e os ecossistemas divergiram drasticamente — a Ethereum é centenas de vezes maior por capitalização em 2026 — mas a ETC continua a existir como experiência contínua de imutabilidade estrita.
• Um campo de segurança de smart contracts. A reentrancy tornou-se exemplo fundador na educação em segurança de smart contracts. Os padrões de contratos da OpenZeppelin, os reentrancy guards do Solidity, ferramentas de verificação formal e bug bounties têm raiz conceptual no incidente do DAO.
• O debate da imutabilidade. O hard fork tornou explícito o que era implícito: a uma escala suficiente, a comunidade podia e iria alterar a cadeia em resposta a considerações off-chain. Isso é uma característica (a rede pode recuperar de desastres) ou um bug (a rede não é realmente imutável), conforme a perspetiva.
• Relatório DAO da SEC (julho 2017). A SEC publicou um Section 21(a) Report concluindo que os tokens DAO eram valores mobiliários pelo Howey Test. Esse relatório definiu de facto o quadro regulatório do boom ICO de 2017.
• Experiências posteriores de governança on-chain. Toda tentativa posterior — MakerDAO, governança Compound, OlympusDAO, Gitcoin, o moderno Optimism Collective — teve de navegar a mesma tensão entre código imutável, julgamento humano e proteção de stakeholders que o incidente do DAO trouxe à tona.

As lições

O hack do DAO é um dos incidentes mais estudados em cripto. Lições honestas:

• Smart contracts são programas, e programas têm bugs. O The DAO tinha mais valor do que a maioria do software financeiro de produção, escrito por uma equipa pequena sob pressão, auditado mas não verificado formalmente. O bug específico (reentrancy) estava descrito na literatura de segurança; usar padrões conhecidamente perigosos à escala foi o que tornou a perda possível.
• A imutabilidade é uma escolha da comunidade, não uma propriedade do substrato. O hard fork demonstrou que, com consequência suficiente, a rede intervinha. Cadeias seguintes variaram quanto à rigidez com que tratam isto. A Ethereum Classic existe em parte para sustentar a posição de que a imutabilidade não é negociável.
• Decisões de recuperação criam precedentes. O fork do DAO foi citado em crises posteriores — recuperações de hacks, exploits de pontes, despeg de stablecoins — como precedente de intervenção comunitária. Algumas cadeias rejeitaram esse precedente; outras abraçaram-no; quase todas tiveram de pensar nele.
• Auditorias são necessárias mas não suficientes. O The DAO tinha sido auditado. Os auditores levantaram preocupações. A exploração aconteceu na mesma. A segurança real depende de várias defesas — verificação formal, bug bounties, processos conservadores de atualização, controlos com time-lock — não de uma auditoria.
• Governança é uma camada que exige design. A governança por detentores do The DAO era nova e mal especificada. Toda DAO séria posterior teve de desenhar governança com muito mais cuidado: quórum, pesos de voto, períodos de espera, procedimentos de emergência. O The DAO é o caso que tornou estas preocupações concretas.

Vale a pena ser claro sobre o que o hack do DAO não prova. Não prova que todos os smart contracts sejam inseguros, nem que organizações on-chain não funcionem. Prova que smart contracts com grande valor têm de ser desenhados e auditados com a seriedade de software financeiro de produção — e que a comunidade tem de ter pensado, antecipadamente, no que fará quando algo correr mal.

Vigie onde começam os próximos incidentes de smart contracts

Os incidentes em smart contracts continuam em cada ciclo — exploits de pontes, drenagens de protocolos de empréstimo, ataques de governança. Os padrões — caminhos de código sabidamente perigosos, deploys sob pressão, resposta disputada — repetem-se. O Zippfeed segue manchetes de segurança DeFi e smart contracts em muitas fontes com pontuação de sentimento e importância, para que possa ver incidentes e respostas a desenrolarem-se — e aprender antes de a exposição se tornar perda. Isto é educativo, não conselho financeiro.