Logo

Bezpieczeństwo w akcji - prawdziwy hack i jak DAO odzyskało biznes

June 9, 2026
Bezpieczeństwo w akcji - prawdziwy hack i jak DAO odzyskało biznes

Wczoraj DAO głosowało nad czymś poważniejszym niż test.

Jeden z naszych użytkowników został zhakowany. Cały jego biznes - NFT i struktura partnerska - został skradziony. A wczoraj, głosami społeczności, wrócił do prawowitego właściciela.

Wielu z was prosiło o pełną historię. Oto ona, bez owijania: co się stało, jak sprawę rozwiązano, co to mówi o konstrukcji tego protokołu i jaką nową warstwę bezpieczeństwa dodajemy przez ten incydent.

Co się stało

Jeden z naszych uczestników miał przejęty portfel. Atakujący uzyskał dostęp do seed phrase portfela - klucza głównego do wszystkiego, co było w środku.

Doprecyzujmy jedną rzecz: to nie było naruszenie platformy ani smart contracts. Sam protokół nigdy nie został przejęty. Atakujący dostał się do portfela użytkownika po staremu - kradnąc klucze.

W tamtym momencie funkcja Business Sale była tymczasowo włączona. Aktywowaliśmy ją wcześniej jako część testu zarządzania DAO i ogłosiliśmy to publicznie. Atakujący wykorzystał to otwarte okno. Mając kontrolę nad przejętym portfelem, uruchomił transfer biznesu i przeniósł całe konto ofiary - NFT oraz pełną strukturę drzewa partnerskiego - na własny adres.

Biznes budowany miesiącami, zniknął w jednej transakcji.

Zanim przejdziemy dalej - najważniejsza rzecz

Żeby zrozumieć, jak to rozwiązano, najpierw musisz zrozumieć, co NIE mogło się wydarzyć.

Zespół nie ma dostępu do twojego biznesu. Żadnego.

Nie możemy przenieść twojego NFT. Nie możemy dotknąć twojej struktury. Nie możemy zamrozić, przejąć ani przetransferować niczego na twoim koncie. To nie jest polityka, którą po cichu moglibyśmy jutro zmienić - tak zbudowane są smart contracts, potwierdził to audyt CertiK, a wymusza to sam blockchain.

To właśnie znaczy decentralizacja w praktyce. Gdybyśmy mogli wejść na konta i samodzielnie „naprawiać” sprawy, twoje aktywa byłyby bezpieczne tylko tak długo, jak dobra jest nasza wola - a ty musiałbyś ufać nam tak, jak ufa się bankowi. Dokładnie ten model ten protokół miał zastąpić.

Więc gdy doszło do hacku, nie było przycisku administratora do naciśnięcia. Nie mogło go być. I tak właśnie miało być.

Jak to faktycznie rozwiązano

Jest za to DAO.

Ofiara skontaktowała się ze wsparciem. Jej lider upline - osoba, która pierwotnie wprowadziła ją do ekosystemu - stanął po jej stronie i potwierdził sytuację. Zespół zweryfikował tożsamość właściciela oraz jego wyłączną kontrolę nad nowym, bezpiecznym portfelem. A potem uruchomiono jedyny mechanizm mający uprawnienia do działania: głosowanie społeczności.

Dwie propozycje trafiły on-chain:

1. Wyłączenie Business Sale. Faza testu zarządzania i tak była zakończona, a otwarta ścieżka transferu była dokładnie tą powierzchnią, którą wykorzystał atakujący. DAO zagłosowało za wyłączeniem tej funkcji w całym protokole. Pozostaje wyłączona, dopóki przyszłe głosowanie nie zdecyduje inaczej.

2. Odzyskanie skradzionego konta. DAO zatwierdziło migrację skradzionej pozycji - NFT, struktury i wszystkiego, co było z nią powiązane - z adresu atakującego do nowego portfela kontrolowanego wyłącznie przez zweryfikowanego właściciela. Nie z powrotem do pierwotnego portfela: on nadal jest przejęty, a oddanie tam biznesu przekazałoby go prosto temu samemu atakującemu.

Obie propozycje przeszły. Obie wykonano on-chain. Pełne teksty propozycji są publicznie dostępne na stronie DAO dla każdego, kto chce zobaczyć każdy szczegół.

Efekt: właściciel wrócił do biznesu z bezpiecznego portfela. Adres atakującego został z niczym.

Dla porządku, DAO ma też moc całkowitego zamrożenia złośliwego konta. W tym przypadku nie było to nawet potrzebne - sama migracja odebrała atakującemu każdą pozycję, którą posiadał.

Co to udowadnia

Planowaliśmy test zarządzania, żeby sprawdzić propozycje, głosowanie i wykonanie. Zamiast tego dostaliśmy incydent na żywo, który poddał cały model bezpieczeństwa realnej presji.

Model wytrzymał:

  • Sam zespół nie mógł zrobić nic - zgodnie z założeniem.

  • Społeczność, przez DAO, mogła zrobić wszystko, co trzeba - zamknąć powierzchnię ataku, odebrać pozycje atakującemu, przywrócić właściciela.

Właśnie o to chodzi w tym połączeniu. Żadna pojedyncza strona - ani zespół, ani żadna osoba - nie może dotknąć twoich aktywów. Ale społeczność, działając razem przez otwarte głosowanie on-chain, może przywrócić sprawiedliwość, gdy coś pójdzie źle.

Scentralizowane platformy dają ci to drugie bez pierwszego. Większość DeFi daje ci to pierwsze bez drugiego. Ten protokół ma jedno i drugie.

Co powinieneś zrobić teraz

Zabezpieczenia protokołu zadziałały. Ale ten incydent zaczął się tam, gdzie zaczyna się większość incydentów: od przejętego portfela. Najmocniejsza warstwa bezpieczeństwa to ta, którą ustawiasz sam.

Trzy rzeczy, dziś:

1. Ustaw swoje hasło finansowe. Osobne hasło wymagane do przenoszenia środków, niezależne od loginu. Jeśli oszust wejdzie na twoje konto bez niego, trafia na ścianę.

2. Włącz każdą warstwę bezpieczeństwa, którą daje ci platforma. Kody TAN do transakcji, 2FA i oficjalny bot Telegram do weryfikacji działań. Każda warstwa to jeszcze jedna rzecz, którą atakujący musi złamać.

3. Chroń swoją seed phrase tak, jakby była samym biznesem. Bo jest. Nigdy nie wpisuj jej na żadnej stronie, nigdy nikomu jej nie udostępniaj, nigdy nie przechowuj jej w notatkach w chmurze ani na zrzutach ekranu.

Jeśli te warstwy nie są ustawione, atakujący, który dostanie się do środka, może działać szybko. Każda warstwa, którą włączysz, spowalnia go albo zatrzymuje całkowicie.

Nowość: Secret Code

Ten przypadek pokazał nam, gdzie jeszcze jedna warstwa ma sens. Więc ją dodajemy.

W ciągu następnego tygodnia wdrażamy Secret Code - nowy element systemu bezpieczeństwa konta.

Jak to działa:

  • Gdy generujesz swoje hasło finansowe, system tworzy Secret Code - jedno losowe słowo, pokazane ci tylko raz.

  • Jeśli masz już hasło finansowe, twój kod także zostanie ci pokazany.

  • Zapisz go i przechowuj offline. Traktuj go tak, jak traktujesz seed phrase.

  • Od tego momentu każde zgłoszenie do wsparcia dotyczące bezpieczeństwa - reset hasła finansowego, działania odzyskiwania, wszystko z tej kategorii - będzie wymagało podania twojego Secret Code.

Nie ma kodu, nie ma zmian. Nawet jeśli atakujący przejmie twój email albo wiadomości, nie będzie mógł podszyć się pod ciebie przed wsparciem bez tego słowa.

Wczorajsze głosowanie zrobiło więcej niż naprawienie jednego konta. Pokazało - w produkcji, przy realnej stawce - że ten protokół potrafi chronić użytkowników bez oddawania komukolwiek scentralizowanej władzy nad nimi.

Użytkownik, który został zaatakowany, odzyskał swój biznes. Atakujący odszedł z niczym. Społeczność doprowadziła do tego - jawnie, on-chain, przez głosowanie.

Sprawiedliwość zwyciężyła. Tak wygląda system działający dokładnie zgodnie z projektem.