Blockaid gắn cờ giao diện cow.fi của CoW Swap là độc hại, kêu gọi người dùng thu hồi quyền phê duyệt token và tránh dApp này trong bối cảnh một làn sóng tấn công giao diện DeFi rộng hơn.
Tóm tắt
- Blockaid gắn cờ giao diện chính cow.fi của CoW Swap là độc hại.
- Người dùng được kêu gọi thu hồi quyền phê duyệt token và tránh dApp ngay lập tức.
- Sự cố cho thấy làn sóng tấn công giao diện DeFi đang gia tăng trên nhiều giao thức lớn.
Công ty an ninh blockchain Blockaid đã cảnh báo rằng trang web chính COW.FI của CoW Swap bị xâm phạm trong một cuộc tấn công giao diện bị nghi ngờ, đánh dấu nỗ lực khai thác mới nhất mang tính nổi bật cao nhắm vào một giao diện giao dịch DeFi lớn.
Trong một thông báo được chia sẻ trên X, Blockaid cho biết hệ thống của mình “đã phát hiện một cuộc tấn công giao diện nhắm vào Cowswap” và xác nhận rằng tên miền cow.fi đã bị gắn cờ là độc hại trong các ví tích hợp Blockaid, khuyên người dùng “không nên ký các giao dịch và tránh tương tác với dApp cho đến khi vấn đề được khắc phục.”
Sau cảnh báo, các kênh cộng đồng của CoW Swap và các bình luận viên bảo mật độc lập đã thúc giục các nhà giao dịch đã kết nối ví với CoW Swap ngay lập tức thu hồi mọi quyền phê duyệt token còn hiệu lực và ngừng tương tác với giao diện của nền tảng cho đến khi có thông báo mới, dù các hợp đồng thông minh nền tảng chưa được báo cáo là bị xâm phạm.
🚨 Cảnh báo cộng đồng:
Hệ thống của Blockaid đã xác định một cuộc tấn công giao diện lên @CoWSwap.
Trang cow[.]fi đã bị gắn cờ là độc hại.
Tránh mọi tương tác với dApp ngay lập tức. pic.twitter.com/QKGk3DtPjH
— Blockaid (@blockaid_) April 14, 2026
Cảnh báo của Blockaid bổ sung vào làn sóng tấn công giao diện DeFi {#blockaid-alert-adds-to-defi-frontend-attack-wave}
Cảnh báo mới nhất của Blockaid xuất hiện trong bối cảnh gia tăng các cái gọi là chiếm quyền giao diện (frontend hijack), trong đó kẻ tấn công xâm phạm website hoặc DNS của một dự án thay vì các hợp đồng on-chain của nó, lặng lẽ thay lời nhắc giao dịch hợp pháp bằng những lời nhắc độc hại để rút cạn ví người dùng.linkedin+1
Vào tháng Hai, Blockaidreported đã ghi nhận một cuộc tấn công giao diện tương tự trên nền tảng token hóa OpenEden, cảnh báo người dùng “không nên ký các giao dịch và tránh tương tác với dApp cho đến khi vấn đề được khắc phục,” trong khi các sự cố riêng biệt gần đây cũng đã ảnh hưởng đến giao thức cho vay Curvance và công ty quản lý tài sản Maple Finance.
Như được nêu bật trong các hướng dẫn bảo mật DeFi của chính CoW Swap, các cuộc tấn công này nhắm vào “con người, thiết bị và hành vi giao dịch thay vì chỉ tấn công mã,” khiến các thói quen cơ bản như kiểm tra URL, dùng dấu trang trình duyệt và theo dõi quyền phê duyệt token trở nên quan trọng đối với cả người dùng lẻ lẫn người dùng chuyên nghiệp.
Các nền tảng bảo mật như Kerberus và các công cụ kiểu Revoke khuyến nghị người dùng thường xuyên rà soát và thu hồi quyền phê duyệt token sau bất kỳ sự cố nghi ngờ nào, nêu rõ rằng việc thu hồi “chỉ xóa quyền tương lai cho hợp đồng đó để di chuyển token của bạn” và không thể khôi phục các quỹ đã bị rút cạn.
Đối với các nhà giao dịch ForDeFi, sự cố CoW Swap nhấn mạnh một bài học vẫn lặp lại trong các bài đưa tin của crypto.news về khai thác sàn giao dịch, hack cầu nối và rút cạn giao thức: ngay cả khi các hợp đồng thông minh đã được kiểm toán vẫn còn nguyên vẹn, một giao diện bị xâm phạm vẫn có thể biến một lệnh swap thông thường thành mất toàn bộ ví nếu người dùng ký một cách mù quáng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
RedPeach Thực Hiện Thử Nghiệm Nhận Dạng Khuôn Mặt Để Cấm Robot Tình Dục và Những Người Tạo Nội Dung Giả
RedPeach đã giới thiệu nhận dạng khuôn mặt bắt buộc đối với người sáng tạo nội dung để chống lại việc mạo danh bởi AI và các bên chát thuê, đảm bảo các tương tác chân thực. Giám đốc điều hành Marco Cally nhấn mạnh việc bảo vệ người dùng trước các trò lừa đảo cảm xúc, sau những thách thức pháp lý trong ngành.
GateNews24phút trước
Các nhà phát triển Bitcoin Core đề xuất BIP-361 để đóng băng 1,7M BTC ban đầu trước các mối đe dọa từ điện toán lượng tử
BIP-361, do các đồng tác giả đề xuất bao gồm Jameson Lopp, nhằm bảo đảm Bitcoin giai đoạn đầu bằng cách di chuyển 1,7 triệu coin từ các địa chỉ P2PK yếu sang các định dạng mạnh hơn, cho phép người dùng có 3-5 năm trước khi đóng băng các coin chưa được chuyển. Phản hồi của cộng đồng rất khác nhau.
GateNews5giờ trước
CoW Swap Khôi phục tên miền cow.fi sau cuộc tấn công lừa đảo xã hội vào ngày 14 tháng 4
CoW Swap đã giành lại quyền kiểm soát tên miền cow.fi của mình sau một cuộc tấn công lừa đảo kỹ thuật xã hội xảy ra vào ngày 14 tháng 4. Kẻ tấn công đã sử dụng các tài liệu giả mạo để thao túng công cụ đăng ký DNS và triển khai một trang lừa đảo (phishing). Người dùng bị ảnh hưởng bởi sự cố được khuyến nghị thu hồi các phê duyệt giao dịch và chuyển tiền.
GateNews6giờ trước
Florida và Massachusetts cùng nhau thu hồi 5,4 triệu đô la tài sản tiền điện tử bị lừa đảo
Văn phòng Công tố tiểu bang Florida và Văn phòng Cảnh sát trưởng quận Marion phối hợp thu hồi 5,4 triệu USD tiền mã hóa bị lừa đảo, liên quan đến một kế hoạch lừa đảo đầu tư núp dưới hình thức lừa đảo hẹn hò. Một phần số tiền đã được hoàn trả cho các nạn nhân tại Florida và Massachusetts; kể từ khi thành lập, CFEU đã thu hồi được tổng cộng 7,2 triệu USD, đồng thời có 12,6 triệu USD tài sản đang bị phong tỏa. Massachusetts cũng tiến hành nhiều hoạt động thực thi pháp luật khác nhau, đóng các trang web lừa đảo và thu hồi tiền.
MarketWhisper8giờ trước
Florida và Massachusetts Thu hồi 5,4 triệu USD tài sản gian lận tiền mã hóa từ âm mưu lừa đảo tình cảm
Các cơ quan chức năng tại Florida và Massachusetts đã thu hồi 5,4 triệu USD tiền điện tử liên quan đến lừa đảo đầu tư do lừa đảo tình cảm, trong đó các nạn nhân nhận được hoàn trả một phần. Các nỗ lực đang tiếp tục nhằm chống lừa đảo tiền điện tử, với thêm các tài sản đang trong quá trình kiện tụng.
GateNews9giờ trước
Vụ cướp ngu ngốc nhất trong giới tiền mã hóa? Hacker đúc 1 tỷ USD DOT nhưng chỉ lấy được 230.000 USD
Tin tặc đã lợi dụng lỗ hổng của cầu nối xuyên chuỗi Hyperbridge để đúc 1 tỷ token Polkadot (DOT), với giá trị danh nghĩa hơn 1,19 tỷ USD, nhưng do thiếu thanh khoản nên cuối cùng chỉ rút tiền được khoảng 237.000 USD. Vụ tấn công xảy ra vì hợp đồng thông minh đã không xác minh đúng các thông điệp, cho phép tin tặc giành quyền quản lý và đúc tiền. Sự kiện này nêu bật vai trò then chốt của thanh khoản thị trường trong việc thành công của hoạt động arbitrage.
CryptoCity22giờ trước
