Cow Protocol призупинив торгівлю після викрадення домену інтерфейсу

Основні висновки:

• Фронтенд Cow Swap за адресою swap.cow.fi був захоплений через DNS о 14:54 UTC 14 квітня 2026 року.
• Cow DAO призупинив роботу API та бекенду Cow Protocol в якості запобіжного заходу, при цьому не було повідомлено про підтверджені втрати на рівні контрактів.
• Користувачі, які взаємодіяли з swap.cow.fi після 14:54 UTC, повинні негайно скасувати дозволи за допомогою revoke.cash.

Cow Swap призупиняє роботу протоколу після викрадення DNS-домену

Викрадення було виявлено приблизно о 14:54 UTC 14 квітня 2026 року. Cow DAO опублікувало публічне попередження на X приблизно о 15:41 UTC, порадивши користувачам повністю припинити взаємодію з сайтом, поки команда проводить розслідування.

У наступному дописі о 16:24 UTC було підтверджено викрадення DNS та зазначено, що бекенд і API Cow Protocol не постраждали. Проте команда призупинила ці сервіси як запобіжний захід.

Викрадення DNS — це добре відомий метод атаки в децентралізованих фінансах (DeFi). Зловмисники отримують контроль над налаштуваннями реєстратора доменів, перенаправляють трафік на схожий сайт і розгортають програми для виведення коштів з гаманців, які ініціюють шкідливі транзакції, коли користувачі підключають свої гаманці або підписують дозволи.

Cow Swap працює як некастодіальна платформа, що означає, що сам протокол не зберігає кошти користувачів. Смарт-контракти та інфраструктура в ланцюжку не були порушені під час цього інциденту. Ризик обмежувався користувачами, які відвідали скомпрометований інтерфейс та підписали транзакції після 14:54 UTC.

Cow DAO опублікував інструкцію о 16:33 UTC, в якій порадив постраждалим користувачам скасувати будь-які дозволи, надані після цього часу. Команда вказала на revoke.cash як інструмент для цього.

Станом на пізнє післяобіддя за UTC не було повідомлено про підтверджені великі збитки. Члени спільноти повідомили про поодинокі підозрілі транзакції, але не було доказів системного зливу коштів, що вплинув би на протокол в цілому.

Інструмент безпеки Blockaid позначив swap.cow.fi та пов'язані домени, включаючи cow.fi, під час періоду інциденту. Команда продовжувала моніторинг приблизно до 18:15 за UTC і попросила користувачів з потенційно ураженими транзакціями надати хеші своїх транзакцій для перевірки.

За останньою доступною інформацією, протокол залишався призупиненим, а Cow DAO не підтвердило повного відновлення роботи та не опублікувало аналіз інциденту.

Протягом останніх місяців кілька протоколів DeFi стали жертвами атак на фронтенд та DNS. Ці інциденти, як правило, пов’язані з використанням слабких місць на рівні реєстраторів, таких як соціальна інженерія щодо персоналу підтримки або компрометація даних двофакторної аутентифікації, а не з будь-якими недоліками в коді смарт-контрактів.

Cow Protocol є частиною екосистеми Gnosis і використовує пакетні аукціони та алгоритм Coincidence of Wants для забезпечення торгів, захищених від MEV. З моменту запуску протокол обробив транзакції на суму в мільярди доларів.

Очікується, що Cow DAO опублікує повний звіт про інцидент після вирішення проблеми з DNS та підтвердження безпеки використання сайту.