Пропозиція CoW DAO щодо компенсації постраждалим від викрадення домену cow.fi, до 100% відшкодування збитків

CoW DAO 23 квітня опублікувала на форумі з питань управління пропозицію щодо компенсації (CIP), в якій запропоновано створити програму дискреційних субсидій, щоб надати постраждалим від інциденту викрадення доменного імені cow.fi від 14 квітня максимальну компенсацію збитків до 100%. За оцінками подія спричинила втрати користувачів приблизно на 1,2 мільйона доларів США USDC. CoW DAO підкреслює, що компенсація має добровільний характер у вигляді спеціальної підтримки й не означає визнання будь-якої юридичної відповідальності.

Огляд події: як за 4,5 години викрадення доменного імені спричинило збитки в розмірі 1,2 мільйона доларів США

(Джерело: CoW DAO)

14 квітня 2026 року реєстратор доменних імен Gandi SAS, який використовувався сервером DNS CoW Swap (AWS Route 53), зазнав атаки соціальної інженерії; зловмисники використали цю вразливість і контролювали домен cow.fi приблизно 4,5 години, розгорнувши фішинговий вебсайт, щоб спонукати відвідувачів підписати зловмисні транзакції та вкрасти токени з гаманців. CoW DAO підкреслює, що сам протокол CoW Swap не був атакований зловмисниками; вразливість існувала на рівні реєстратора доменних імен, а не в коді протоколу.

Умови отримання права на компенсацію та порядок подання заявки

Три ключові умови для права на компенсацію:

Використовував CoW Swap: гаманець має щонайменше один раз здійснити транзакцію в CoW Swap до моменту інциденту

Підписав певну зловмисну транзакцію: власник гаманця має підписати зловмисне повідомлення або транзакцію, пов’язану з конкретним зловмисним “extraction” контрактом фішингового вебсайту (увага: користувачі, які вводили seed-phrase, не підпадають під цю категорію)

Завершив KYC-перевірку: потрібно пройти процедуру підтвердження особи (KYC-інформацію буде знищено протягом 30 днів після здійснення виплати компенсації)

Постраждалі мають до 14 травня надіслати електронний лист на help@cow.fi з темою «CoW.Fi доменний інцидент викрадення: дискреційна компенсаційна вимога», а в тексті листа вказати адресу (адреси) гаманця, конкретні викрадені активи та ім’я власника гаманця.

Ключова шкала часу та юридичне застереження

Повна шкала часу: 30 квітня – 7 травня (управлінське голосування) → 14 травня (дедлайн подання заяв) → 21 травня (завершення верифікації вимоги) → 31 травня (усі виплати субсидій завершено). Після завершення програми команда фінансів поповнить резерв для юридичного захисту на суму до 5 мільйонів доларів США як верхню межу дозволу. У заяві CoW DAO зазначає, що ця компенсація є одноразовим ізольованим заходом і не створює прецеденту для використання резерву для юридичного захисту поза межами основних напрямів оборони в майбутньому.

Поширені запитання

Як перевірити, чи я відповідаю вимогам для отримання компенсації?

Потрібно виконати три умови: до події було здійснено транзакцію в CoW Swap; було підписано зловмисну транзакцію, пов’язану з конкретним “extraction” контрактом фішингового вебсайту того дня; пройдено KYC-перевірку. До дедлайну 14 травня можна подати заявку на help@cow.fi, а основна команда зіставить ончейн-дані для перевірки.

Чи можуть користувачі, які вводили seed-phrase гаманця, подати заявку на компенсацію?

Ні. CoW DAO чітко зазначає, що користувачі, чиї seed-phrases були розкриті на сайтах, які вимагали їх надати, не входять до сфери цього відшкодування, оскільки такі види шахрайства не є підробкою фішингової атаки, спрямованої проти CoW Swap, і не належать до категорії постраждалих від цього інциденту з викраденням доменного імені.

Чи означає прийняття компенсації відмову від юридичних претензій до CoW DAO?

Згідно з умовами компенсації, користувачі, які приймають компенсацію, погоджуються, що в межах, дозволених застосовним законодавством, ця сума остаточно врегулює всі пов’язані претензії до CoW DAO, що випливають із цього конкретного інциденту. CoW DAO також заявляє, що жодні права, від яких за законом не можна відмовитися, не зазнають впливу від цієї умови.