Обзор события: захват фронтенда стал причиной экстренной приостановки
(Источник: CoWSwap)
14 апреля 2026 года децентрализованный агрегатор торговли CoW Swap столкнулся с инцидентом безопасности на фронтенде. Команда быстро обнаружила аномалии, незамедлительно уведомила пользователей через официальные каналы о необходимости приостановить операции и мгновенно отключила затронутые сервисы.
Расследование подтвердило: причиной стал захват DNS, а не уязвимость протокола или его смарт-контрактов.
Что такое захват DNS?
DNS (Domain Name System) — это адресная книга интернета, которая сопоставляет адреса сайтов с реальными серверами.
Типовая атака с захватом DNS выглядит так:
- Злоумышленник получает контроль над доменом или изменяет его настройки
- Перенаправляет легитимный трафик сайта на поддельную страницу
- Встраивает вредоносный код на фальшивый сайт
В DeFi такие страницы часто:
- обманывают пользователя, предлагая подключить Кошелек
- запрашивают Подпись транзакции или Утверждение
- в итоге инициируют перевод активов
Важный момент: атаки происходят на уровне взаимодействия пользователя с сайтом, а не в ончейн-логике.
Фактическое влияние инцидента
По информации команды, масштаб инцидента был ограничен, а основная система не пострадала. Смарт-контракты функционировали нормально, серверная часть протокола и API не были скомпрометированы, а пользовательские активы не переходили под чужой контроль и не переводились. Это подтверждает, что инцидент не затронул механизмы безопасности базовых активов.
Риски были сосредоточены на стороне пользователя. Под угрозой оказались только те, кто после определенного момента посетил скомпрометированный сайт, взаимодействовал с фронтендом и подписал или утвердил транзакцию. Это классическая атака на фронтенд: если пользователь не взаимодействовал или не утверждал операции, его активы не пострадали.
Официальные меры и рекомендации
После инцидента Cow DAO быстро выпустила рекомендации:
- Немедленные действия
- прекратить использование затронутого сайта
- не выполнять операции Торговли или Подписи
- Если взаимодействие уже произошло
- отозвать подозрительные Утверждения
- проверить разрешения через инструмент revoke.cash
- Помощь в расследовании
- предоставить Хэши транзакций подозрительной активности
- сотрудничать с командой для анализа
На момент публикации нет свидетельств массовых потерь средств — зафиксированы только единичные подозрительные транзакции.
Основной механизм CoW Protocol: сопоставление спроса и пакетное исполнение
В основе CoW Protocol лежит сопоставление спроса (Coincidence of Wants), реализованное через продукт CoW Swap. Платформа агрегирует торговые намерения пользователей и с помощью механизма Batch Auctions исполняет их коллективно в каждом блоке. Если спрос на покупку и продажу можно сопоставить напрямую, Сделки совершаются без пула ликвидности или маркетмейкера, что снижает издержки и повышает эффективность.
(Источник: CoW Protocol)
Если ордера не удается полностью сопоставить, система направляет оставшиеся заявки на другие DEX или агрегаторы для пополнения Ликвидности. Такой подход балансирует эффективность сопоставления и источники Ликвидности, снижает Проскальзывание и обеспечивает лучшие Цены Заполнения. Механизм единой расчетной цены предотвращает несправедливость, связанную с порядком исполнения транзакций.
Механизм Solver и оптимизация торговли
В CoW Swap действует механизм торгов Solver: несколько третьих сторон конкурируют за то, чтобы предложить пользователю наилучшее решение для Сделки. Победивший Solver исполняет Сделку и оплачивает расходы на Газ в ончейне, а пользователь может отправить намерение Торговли только с офчейн-Подписью — если Сделка не исполнена, пользователь ничего не платит.
Этот механизм также снижает риск атак MEV (Maximal Extractable Value). Поскольку сопоставление ордеров происходит в основном офчейн, Solver'ы конкурируют за возврат потенциального Дохода пользователю, делая front-running невыгодным. Такой подход повышает эффективность торгов, улучшает пользовательский опыт и уже работает на Ethereum, Arbitrum, Gnosis Chain и Base.
Итоги
Инцидент с фронтендом CoW Protocol подчеркивает важность безопасности интерфейсного уровня в DeFi. Даже при защищенности смарт-контрактов и ончейн-логики пользователи могут стать жертвами атак через фронтенд. Как показал случай с захватом DNS, злоумышленники используют доверие к официальным сайтам, чтобы спровоцировать операции Утверждения и создать риски.
Ключевые механизмы сопоставления и расчетов CoW Protocol остались стабильными, а последствия инцидента ограничились действиями отдельных пользователей и не затронули безопасность активов. Однако такие события напоминают участникам рынка, что помимо защиты протокола необходима внимательность к фронтенду, DNS и операциям Утверждения при работе с любыми DeFi-продуктами. Усиление пользовательских мер защиты в рамках децентрализованных архитектур остается одной из главных задач отрасли.
