Cow Protocol schort de handel op na een aanval waarbij het frontend-domein werd gekaapt

Belangrijkste punten:

• De frontend van Cow Swap op swap.cow.fi werd op 14 april 2026 om 14:54 UTC via DNS gekaapt.
• Cow DAO heeft uit voorzorg de API's en backend van Cow Protocol opgeschort; er zijn geen bevestigde verliezen op contractniveau gemeld.
• Gebruikers die na 14:54 UTC interactie hebben gehad met swap.cow.fi, moeten hun goedkeuringen onmiddellijk intrekken met behulp van revoke.cash.

Cow Swap pauzeert protocol na DNS-kaping van frontend-domein

De kaping werd op 14 april 2026 om ongeveer 14:54 UTC gedetecteerd. Cow DAO gaf om ongeveer 15:41 UTC een openbare waarschuwing op X uit, waarin gebruikers werd geadviseerd om volledig te stoppen met interactie met de site terwijl het team onderzoek deed.

Een vervolgbericht om 16:24 UTC bevestigde de DNS-kaping en merkte op dat de backend en API's van Cow Protocol niet waren getroffen. Het team heeft die diensten uit voorzorg toch opgeschort.

DNS-kaping is een bekende aanvalsmethode in de gedecentraliseerde financiële sector (DeFi). Aanvallers krijgen controle over de instellingen van de domeinregistrar, leiden het verkeer om naar een lookalike-site en zetten wallet drainers in die kwaadaardige transacties activeren wanneer gebruikers hun wallets koppelen of goedkeuringen ondertekenen.

Cow Swap functioneert als een non-custodial platform, wat betekent dat het protocol zelf geen gebruikersfondsen aanhoudt. Smart contracts en on-chain infrastructuur bleven bij dit incident onaangetast. Het risico bleef beperkt tot gebruikers die de gecompromitteerde frontend bezochten en transacties ondertekenden na 14:54 UTC.

Cow DAO publiceerde om 16:33 UTC richtlijnen waarin getroffen gebruikers werden geïnstrueerd om alle goedkeuringen die na dat tijdstip waren verleend, in te trekken. Het team wees op revoke.cash als hulpmiddel om dit te doen.

Er werden tot laat in de middag UTC geen bevestigde verliezen op grote schaal gemeld. Leden van de community meldden geïsoleerde verdachte transacties, maar er was geen bewijs van een systematische uitputting die het bredere protocol beïnvloedde.

Beveiligingstool Blockaid markeerde swap.cow.fi en gerelateerde domeinen, waaronder cow.fi, tijdens het incident. Het team bleef tot ongeveer 18:15 UTC toezicht houden en vroeg gebruikers met mogelijk getroffen transacties om hun transactie-hashes ter beoordeling in te dienen.

Volgens de meest recente beschikbare informatie bleef het protocol gepauzeerd en had Cow DAO nog geen volledige herstel bevestigd of een post-mortem gepubliceerd.

Frontend- en DNS-aanvallen hebben de afgelopen maanden verschillende DeFi-protocollen getroffen. Deze incidenten maken doorgaans gebruik van zwakke plekken op registratieniveau, zoals social engineering van ondersteunend personeel of gecompromitteerde inloggegevens voor tweefactorauthenticatie, in plaats van fouten in de smart contract-code.

Cow Protocol maakt deel uit van het Gnosis-ecosysteem en maakt gebruik van batchveilingen en Coincidence of Wants-matching om MEV-beveiligde transacties te bieden. Het protocol heeft sinds de lancering miljarden dollars aan volume verwerkt.

Een volledig post-mortem van Cow DAO wordt verwacht zodra het DNS-probleem is opgelost en de site veilig is bevonden voor gebruik.