Побудована на основі Cow Protocol DEX-агрегаційна платформа Cow Swap 14 квітня підтвердила, що її основний фронтенд swap.cow.fi зазнав DNS-атаки з підміною. Зловмисник перенаправив трафік користувачів на фішинговий сайт шляхом підробки записів домену та розгорнув процедуру спорожнення гаманця. Cow DAO одразу призупинила роботу протоколу API та бекенд-сервісів; користувачам потрібно негайно відкликати відповідні дозволи.
Повний таймлайн події
UTC 14:54:DNS-запис swap.cow.fi було змінено; зловмисник почав спрямовувати трафік на фішинговий торговий інтерфейс
UTC 15:41:Cow DAO на платформі X опублікувала публічне попередження, закликаючи користувачів під час розслідування повністю припинити взаємодію із сайтом
UTC 16:24:офіційно підтверджено DNS-атаки з підміною; чітко зазначено, що бекенд протоколу та API самі по собі не були скомпрометовані, а призупинення сервісів є превентивним заходом
UTC 16:33:Cow DAO опублікувала конкретні вказівки, вимагаючи від користувачів, які взаємодіяли з пошкодженим фронтендом після UTC 14:54, негайно відкликати дозволи
UTC 18:15:команда продовжує моніторинг і просить користувачів підозрілих транзакцій надати хеші транзакцій для перевірки
Станом на час публікації звіту протокол і далі перебуває в призупиненому стані. Cow DAO ще не оголосила про повне відновлення сервісів і також не опублікувала повний звіт із детальним розбором інциденту.
Механізм DNS-атаки: чому DeFi-фронтенд залишається високоризиковою точкою входу
DNS-атака з підміною не потребує злому коду смартконтрактів. Натомість напад спрямовується на рівень інфраструктури доменних імен. Зловмисник, змінюючи DNS-записи цільового домену, перенаправляє трафік на фішинговий сервер, а потім розгортає на фішинговому інтерфейсі процедуру спорожнення гаманця (Wallet Drainer). Щойно користувач у фішинговому інтерфейсі підключить гаманець або підпише дозвіл, шкідливий процес одразу запускає автоматичне переказування.
Технічна точка входу таких атак зазвичай не в коді протоколу, а на рівні керування доменами в доменному сервіс-провайдері — зокрема через соціальну інженерію щодо сапорт-персоналу, використання витокових облікових даних для двофакторної автентифікації (2FA), або пряме проникнення в обліковий запис, що керує доменами. Упродовж останніх кількох місяців кілька DeFi-протоколів одна за одною зазнавали подібних DNS-атак на фронтенд.
Сам Cow Protocol є некастодіальним протоколом і не зберігає жодних коштів користувачів. Цей ризик обмежується лише тими користувачами, які під час інциденту активно підписували транзакції в пошкодженому фронтенді. У спільноті повідомляли про поодинокі підозрілі транзакції, але станом на зараз не підтверджено, що існує системне вилучення коштів, яке впливає на весь протокол.
Негайний список дій для постраждалих користувачів
Якщо ви після UTC 14:54 відвідували swap.cow.fi або cow.fi та підключали гаманець або підписували будь-які транзакції, слід негайно виконати такі кроки:
Керівництво з термінових дій
Перейдіть на revoke.cash:негайно відкличте всі пов’язані дозволи контрактів, надані після вищезазначених часових міток
Перевірте історію транзакцій гаманця:переконайтеся, чи не було будь-яких переказів без дозволу або незвичних дій із надання дозволів
Припиніть відвідування відповідних доменів:до офіційного підтвердження Cow DAO, що «сайт безпечно доступний», уникайте відвідування swap.cow.fi та cow.fi
Надішліть хеш транзакції:якщо виявите підозрілу транзакцію, надішліть хеш-значення згідно з вказівками Cow DAO для безпечного розгляду
Поширені запитання
Як відбулася DNS-атака з підміною в Cow Protocol?
Зловмисник перенаправив законний трафік користувачів на фішинговий сайт, у якому було розгорнуто процедуру спорожнення гаманця, шляхом підміни DNS-запису swap.cow.fi. Зазвичай такі атаки здійснюються через соціальну інженерію щодо служби підтримки доменного сервіс-провайдера або через використання облікових даних для 2FA, пов’язаних із витоком облікового запису керування доменами; вони не передбачають вразливостей на рівні смартконтрактів протоколу.
Чи впала ця атака на смартконтракти Cow Protocol?
Ні. Cow DAO чітко підтвердила, що смартконтракти та інфраструктура в ланцюжку під час цієї події були повністю неушкоджені. Бекенд протоколу та API також не були скомпрометовані; призупинення сервісів є суто превентивним заходом, спрямованим на те, щоб під час розслідування запобігти доступу більшої кількості користувачів до пошкодженого фронтенду.
Як зрозуміти, чи я постраждав?
Якщо ви після UTC 14:54 відвідували swap.cow.fi або cow.fi та підключали гаманець, або підписували будь-які транзакції, існує потенційний ризик. Негайно перейдіть на revoke.cash, щоб відкликати дозволи, та уважно перевірте недавню історію транзакцій свого гаманця. Постійно стежте за офіційним акаунтом Cow DAO у X і чекайте на офіційне повідомлення про безпечне відновлення сервісу.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
CoW Swap Паузає протокол після викрадення DNS, яке виводить щонайменше $1M з коштів користувачів
CoW Swap призупинив роботу свого протоколу після викрадення DNS, яке перенаправило користувачів на шахрайський сайт, що призвело до крадіжок криптовалюти понад $1 млн. Інцидент став причиною запобіжних дій і попереджень для користувачів, тоді як були впроваджені заходи безпеки.
GateNews15хв. тому
Lattice оголошує про припинення роботи: Redstone закриється 16 травня, користувачі мають обмежений термін для зняття коштів
Інфраструктурний розробник ігор типу «play-to-earn» Lattice оголосив, що 15 травня припинить роботу, та попередив користувачів щодо необхідності вивести кошти. Після зупинки кошти за контрактами неможливо буде вивести через L1-контракти; лише кошти з особистих гаманців можна буде повернути. Lattice протягом п’яти років не змогла реалізувати комерційну модель, тож у підсумку вирішила закритися, але його фреймворк MUD і гра DUST продовжать працювати.
MarketWhisper1год тому
Користувач втрачає $316K USDC після підписання зловмисної транзакції Malicious Permit2, GoPlus попереджає
Користувач втратив $316,000 у USDC через зловмисну транзакцію Permit2, що підкреслює вразливості механізмів схвалення токенів. GoPlus Security закликає користувачів уникати фішингу, дотримуючись ключових практик безпеки, та встановити її захисне розширення.
GateNews2год тому
Сповіщення про безпеку щодо проблем із CoW Swap після виявлення фронтенд-атаки Blockaid
Blockaid виявив атаку на фронтенд CoW Swap, позначивши його домен як шкідливий. Користувачам рекомендують припинити взаємодію, відкликати авторизації гаманця та дочекатися подальших оновлень від команди CoW Swap.
GateNews9год тому
Фонд Ethereum також використовує його! Інтерфейс CoW Swap було зламано, лідери DeFi радять відкликати (revoke) авторизацію
Платформа DeFi для Ethereum CoW Swap 14 квітня зіткнулася з DNS-«карадженням» (hijacking), через що користувачі можуть наражатися на фішингові ризики. Хоча сам протокол не було зламано, ризик атак на фронтенд залишається високим. У галузі радять користувачам скасувати надані дозволи до того, як вони здійснюватимуть подальші дії. CoW Swap надає функцію пакетних транзакцій і протидіє атакам MEV; її безпековий інцидент може вплинути на всю DeFi-екосистему.
ChainNewsAbmedia9год тому
