Основанная на Cow Protocol DEX-агрегаторная платформа Cow Swap 14 апреля подтвердила, что ее основной фронтенд swap.cow.fi подвергся DNS-угону. Злоумышленники, подменяя записи домена, перенаправили пользовательский трафик на поддельный сайт и развернули процедуру очистки кошелька. После этого Cow DAO незамедлительно приостановил работу протокольного API и бэкенд-сервисов; пользователям необходимо немедленно отозвать соответствующие разрешения.
Полная хронология инцидента
UTC 14:54: DNS-запись swap.cow.fi была изменена; злоумышленник начал направлять трафик на фальшивый интерфейс обмена
UTC 15:41: Cow DAO на платформе X опубликовал публичное предупреждение, посоветовав пользователям полностью прекратить взаимодействие с сайтом в ходе расследования
UTC 16:24: Официально подтвержден DNS-угон: четко указано, что бэкенд протокола и сам API не были скомпрометированы; приостановка сервиса — превентивная мера
UTC 16:33: Cow DAO опубликовал конкретные инструкции, потребовав от пользователей, взаимодействовавших с пострадавшим фронтендом после UTC 14:54, немедленно отозвать разрешения
UTC 18:15: Команда продолжает мониторинг и просит пользователей с подозрительными транзакциями предоставить значения хэшей транзакций для проверки
На момент публикации протокол по-прежнему находится в приостановленном состоянии. Cow DAO еще не объявил о полном восстановлении сервиса и не опубликовал полный отчет о постфакте.
Механизм DNS-угона: почему DeFi-фронтенды по-прежнему остаются высокорисковой точкой входа
DNS-угон не требует взлома кода смарт-контрактов: атака нацелена на уровень инфраструктуры доменных имен. Злоумышленник путем изменения DNS-записей целевого домена перенаправляет трафик на поддельный сервер, а затем развертывает на поддельном интерфейсе процедуру очистки кошелька (Wallet Drainer). Как только пользователь подключает кошелек на фальшивом интерфейсе или подписывает разрешение, вредоносная программа запускает автоматический перевод.
Техническая точка входа таких атак обычно находится не в коде протокола, а на стороне управления доменными именами у провайдера доменных услуг — включая социоинженерные атаки на службу поддержки, использование утекших учетных данных для двухфакторной аутентификации (2FA) или прямое проникновение в учетную запись для администрирования доменов. В последние несколько месяцев несколько DeFi-протоколов уже подвергались аналогичным атакам на DNS фронтендов.
Сам Cow Protocol — некастодиальный протокол, он не хранит никаких пользовательских средств. Данный риск ограничивается только теми пользователями, которые добровольно подписали транзакции на пострадавшем фронтенде. Сообщество сообщило о единичных подозрительных транзакциях, однако на данный момент не подтверждено наличие системного вывода средств, затрагивающего весь протокол.
Список немедленных действий для затронутых пользователей
Если вы после UTC 14:54 заходили на swap.cow.fi или cow.fi и подключали кошелек или подписывали любые транзакции, следует немедленно выполнить следующие шаги:
Руководство по срочным действиям
Перейдите на revoke.cash: немедленно отзовите все соответствующие контрактные разрешения, выданные после указанных выше временных точек
Проверьте историю транзакций кошелька: убедитесь, что не было никаких несанкционированных переводов или необычных действий по выдаче разрешений
Прекратите доступ к соответствующим доменам: до того, как Cow DAO официально подтвердит, что «сайт безопасно доступен», избегайте посещения swap.cow.fi и cow.fi
Отправьте хэш транзакции: если обнаружена подозрительная транзакция, отправьте значение хэша в соответствии с инструкциями Cow DAO для безопасной проверки
Часто задаваемые вопросы
Как происходит DNS-угон в Cow Protocol?
Злоумышленники путем изменения DNS-записей swap.cow.fi перенаправляют трафик легитимных пользователей на фальшивый сайт, на котором развернут Wallet Drainer. Такие атаки обычно осуществляются через социоинженерию в отношении службы поддержки провайдера доменных услуг или с использованием утекших сертификатов 2FA учетной записи управления доменом; атаки не связаны с уязвимостями на уровне смарт-контрактов протокола.
Повлияла ли эта атака на смарт-контракты Cow Protocol?
Нет. Cow DAO однозначно подтвердил, что смарт-контракты и вся инфраструктура в сети в рамках данного инцидента полностью не пострадали. Бэкенд протокола и API также не были взломаны. Приостановка сервиса — чисто превентивная мера, направленная на то, чтобы не дать большему числу пользователей посещать пострадавший фронтенд в период расследования.
Как определить, затронуты ли вы?
Если вы после UTC 14:54 посещали swap.cow.fi или cow.fi и подключали кошелек или подписывали любые транзакции, существует потенциальный риск. Необходимо немедленно перейти на revoke.cash, чтобы отозвать разрешения, и внимательно проверить последние записи транзакций кошелька. Продолжайте следить за официальным аккаунтом Cow DAO на X и дождитесь официального уведомления о восстановлении безопасной работы сервиса.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
CoW Swap приостанавливает протокол после перехвата DNS, который выводит как минимум $1M из средств пользователей
CoW Swap приостановила работу своего протокола после перехвата DNS, который перенаправил пользователей на мошеннический сайт, в результате чего было украдено более $1 миллионов в криптовалюте. Инцидент привел к мерам предосторожности и предупреждениям для пользователей, при этом были внедрены меры безопасности.
GateNews15м назад
Lattice объявляет о прекращении работы: Redstone 16 мая закрывается, пользователям будет предоставлен крайний срок для снятия средств
Разработчик базовой инфраструктуры для игр в жанре Lattice объявил, что 15 мая приостановит работу, и предупредил пользователей о необходимости вывести средства. После остановки контрактные средства невозможно вывести через L1-контракт; вернуть можно только средства из персонального кошелька. Lattice не удалось реализовать бизнес-модель за пять лет, и в итоге было принято решение о закрытии, но его MUD-фреймворк и игра DUST продолжат работать.
MarketWhisper1ч назад
Пользователь теряет $316K USDC после подписи вредоносной транзакции Permit2, GoPlus предупреждает
Пользователь потерял $316,000 в USDC из-за вредоносной транзакции Permit2, что подчеркивает уязвимости в механизмах выдачи разрешений токенам. GoPlus Security призывает пользователей избегать фишинга, соблюдая ключевые практики безопасности, и устанавливать свое защитное расширение.
GateNews2ч назад
Предупреждение о безопасности: проблемы в CoW Swap после обнаруженной Blockaid атаки на фронтенд
Blockaid обнаружила атаку на уровне фронтенда на CoW Swap, пометив его домен как вредоносный. Пользователям рекомендуется прекратить любые взаимодействия, отозвать авторизации кошелька и дождаться дальнейших обновлений от команды CoW Swap.
GateNews9ч назад
Фонд Ethereum тоже использует это! Фронтенд CoW Swap был взломан, деятели DeFi советуют отозвать (revoke) разрешения
Платформа DeFi CoW Swap на Ethereum столкнулась с DNS-угоном 14 апреля, из-за чего пользователи могут столкнуться с риском фишинга. Хотя сам протокол не был взломан, риск атак на фронтенд по-прежнему высок. В отрасли рекомендуют пользователям отозвать разрешения перед совершением любых будущих действий. CoW Swap предоставляет функцию пакетных транзакций и противостоит атакам MEV; ее инцидент безопасности может повлиять на всю экосистему DeFi.
ChainNewsAbmedia9ч назад
