Cow Protocol sospende le negoziazioni a seguito di un dirottamento del dominio del frontend

• Il frontend di Cow Swap all'indirizzo swap.cow.fi è stato dirottato tramite DNS alle 14:54 UTC del 14 aprile 2026.
• Cow DAO ha sospeso le API e il backend di Cow Protocol a titolo precauzionale, senza che siano state segnalate perdite confermate a livello di contratto.
• Gli utenti che hanno interagito con swap.cow.fi dopo le 14:54 UTC dovrebbero revocare immediatamente le autorizzazioni utilizzando revoke.cash.

Cow Swap sospende il protocollo dopo che un dirottamento DNS ha colpito il dominio front-end

L'attacco è stato rilevato alle 14:54 UTC circa del 14 aprile 2026. Cow DAO ha emesso un avviso pubblico su X alle 15:41 UTC circa, consigliando agli utenti di interrompere completamente l'interazione con il sito mentre il team indagava.

Un post di follow-up alle 16:24 UTC ha confermato l'hijacking del DNS e ha sottolineato che il backend e le API di Cow Protocol non sono stati colpiti. Il team ha comunque sospeso tali servizi per precauzione.

L'hijacking del DNS è un metodo di attacco ben noto nella finanza decentralizzata (DeFi). Gli aggressori ottengono il controllo delle impostazioni del registrar di domini, reindirizzano il traffico verso un sito simile e distribuiscono programmi di svuotamento dei portafogli che attivano transazioni dannose quando gli utenti collegano i propri portafogli o firmano le approvazioni.

Cow Swap opera come piattaforma non custodial, il che significa che il protocollo stesso non detiene i fondi degli utenti. Gli smart contract e l'infrastruttura on-chain non sono stati toccati in questo incidente. Il rischio era limitato agli utenti che hanno visitato il frontend compromesso e hanno firmato transazioni dopo le 14:54 UTC.

Cow DAO ha pubblicato una guida alle 16:33 UTC in cui si istruivano gli utenti interessati a revocare qualsiasi approvazione concessa dopo quell'ora. Il team ha indicato revoke.cash come strumento per farlo. Non sono state segnalate perdite confermate su larga scala fino al tardo pomeriggio UTC. I membri della comunità hanno segnalato transazioni sospette isolate, ma non c'erano prove di un drenaggio sistemico che interessasse il protocollo in generale.

Lo strumento di sicurezza Blockaid ha segnalato swap.cow.fi e i domini correlati, incluso cow.fi, durante la finestra temporale dell’incidente. Il team ha continuato il monitoraggio fino alle 18:15 UTC circa e ha chiesto agli utenti con transazioni potenzialmente compromesse di inviare gli hash delle loro transazioni per la revisione.

In base alle ultime informazioni disponibili, il protocollo rimaneva in pausa e Cow DAO non aveva confermato il ripristino completo né pubblicato un'analisi post-mortem. Negli ultimi mesi, diversi protocolli DeFi sono stati oggetto di attacchi frontend e DNS. Questi incidenti sfruttano tipicamente le vulnerabilità a livello di registrar, come il social engineering del personale di supporto o le credenziali di autenticazione a due fattori compromesse, piuttosto che eventuali difetti nel codice degli smart contract.

Cow Protocol fa parte dell'ecosistema Gnosis e utilizza aste in batch e il matching Coincidence of Wants per fornire operazioni protette dal MEV. Il protocollo ha elaborato un volume di miliardi di dollari dal suo lancio. È prevista una post-mortem completa da parte di Cow DAO una volta risolto il problema DNS e confermata la sicurezza del sito.