‘카우 프로토콜’, 프론트엔드 도메인 탈취 사건으로 거래 중단

• 2026년 4월 14일 14:54(UTC)에 swap.cow.fi의 Cow Swap 프론트엔드가 DNS를 통해 탈취당했습니다.
• Cow DAO는 예방 조치로 Cow Protocol의 API와 백엔드를 일시 중단했으며, 계약 수준에서의 손실은 보고되지 않았습니다.
• UTC 기준 14:54 이후 swap.cow.fi와 상호작용한 사용자는 revoke.cash를 사용하여 즉시 승인을 취소해야 합니다.

DNS 탈취로 프론트엔드 도메인 침해 발생, Cow Swap 프로토콜 일시 중단

이 해킹은 2026년 4월 14일 UTC 기준 약 14:54에 감지되었습니다. Cow DAO는 UTC 기준 약 15:41에 X를 통해 공개 경고를 발령하며, 팀이 조사하는 동안 사용자들이 해당 사이트와의 모든 상호작용을 중단할 것을 권고했습니다.

UTC 기준 16:24에 게시된 후속 게시물에서는 DNS 하이재킹 사실을 확인했으며, Cow Protocol의 백엔드와 API는 영향을 받지 않았다고 밝혔습니다. 팀은 예방 차원에서 해당 서비스를 일시 중단했습니다.

DNS 하이재킹은 탈중앙화 금융(DeFi) 분야에서 잘 알려진 공격 방식입니다. 공격자는 도메인 등록 기관의 설정을 장악하여 트래픽을 유사 사이트로 리디렉션하고, 사용자가 지갑을 연결하거나 승인을 서명할 때 악성 거래를 유발하는 지갑 탈취 코드를 배포합니다.

Cow Swap은 비수탁형 플랫폼으로 운영되며, 이는 프로토콜 자체가 사용자 자금을 보유하지 않음을 의미합니다. 이번 사건에서 스마트 계약 및 온체인 인프라는 영향을 받지 않았습니다. 위험은 UTC 기준 14:54 이후 해킹된 프론트엔드를 방문하여 거래에 서명한 사용자에게만 국한되었습니다.

Cow DAO는 UTC 기준 16:33에 해당 시간 이후 부여된 모든 승인을 취소하라는 지침을 게시했습니다. 팀은 이를 위한 도구로 revoke.cash를 언급했습니다. UTC 기준 늦은 오후 현재 대규모 손실은 보고되지 않았습니다. 커뮤니티 구성원들이 개별적인 의심스러운 거래를 신고했으나, 프로토콜 전반에 영향을 미치는 체계적인 자금 유출의 증거는 발견되지 않았습니다.

보안 도구 Blockaid는 사건 발생 기간 동안 swap.cow.fi 및 cow.fi를 포함한 관련 도메인을 위험 신호로 표시했습니다. 팀은 UTC 기준 약 18:15까지 모니터링을 지속했으며, 잠재적으로 영향을 받은 거래가 있는 사용자에게 검토를 위해 거래 해시를 제출해 줄 것을 요청했습니다.

현재까지 알려진 정보에 따르면, 프로토콜은 여전히 중단된 상태이며, Cow DAO는 완전한 복구 사실을 확인하지 않았고 사후 분석 보고서도 공개하지 않았습니다. 최근 몇 달간 여러 DeFi 프로토콜이 프론트엔드 및 DNS 공격의 표적이 되었습니다. 이러한 사건들은 일반적으로 스마트 계약 코드의 결함보다는, 지원 직원에 대한 사회공학 공격이나 유출된 2단계 인증 정보와 같은 등록 기관 수준의 취약점을 악용합니다.

Cow Protocol은 Gnosis 생태계의 일부로, 배치 경매와 'Coincidence of Wants' 매칭 방식을 활용해 MEV로부터 보호된 거래를 제공합니다. 이 프로토콜은 출시 이후 수십억 달러 규모의 거래량을 처리해 왔습니다. DNS 문제가 해결되고 사이트 사용이 안전하다고 확인되는 대로 Cow DAO의 전체 사후 분석 보고서가 공개될 것으로 예상됩니다.