news.bitcoin.com
Cow Swap, децентрализованный агрегатор бирж, построенный на базе Cow Protocol, приостановил работу своего протокола в понедельник после того, как злоумышленники взломали DNS-записи его основного веб-интерфейса по адресу swap.cow.fi.
Основные выводы:
- Фронтенд Cow Swap по адресу swap.cow.fi был взломан через DNS 14 апреля 2026 года в 14:54 по UTC.
- Cow DAO приостановил работу API и бэкэнда Cow Protocol в качестве меры предосторожности; подтвержденных убытков на уровне контрактов не зафиксировано.
- Пользователи, которые взаимодействовали с swap.cow.fi после 14:54 UTC, должны немедленно отозвать разрешения с помощью revoke.cash.
Cow Swap приостановил работу протокола после взлома DNS-домена
Угон был обнаружен примерно в 14:54 UTC 14 апреля 2026 года. Cow DAO опубликовал предупреждение на X примерно в 15:41 UTC, посоветовав пользователям полностью прекратить взаимодействие с сайтом на время расследования командой.
В последующем посте в 16:24 UTC было подтверждено угон DNS и отмечено, что бэкенд и API Cow Protocol не пострадали. Тем не менее, команда приостановила работу этих сервисов в качестве меры предосторожности.
Угон DNS — это хорошо известный метод атаки в сфере децентрализованных финансов (DeFi). Злоумышленники получают контроль над настройками регистратора доменов, перенаправляют трафик на похожий сайт и развертывают программы для опустошения кошельков, которые запускают вредоносные транзакции, когда пользователи подключают свои кошельки или подписывают разрешения.
Cow Swap работает как некастодиальная платформа, что означает, что сам протокол не хранит средства пользователей. Смарт-контракты и инфраструктура в цепочке не были затронуты в ходе этого инцидента. Риск ограничивался пользователями, которые посетили взломанный интерфейс и подписали транзакции после 14:54 UTC.
Cow DAO опубликовал в 16:33 UTC инструкцию, в которой пострадавшим пользователям было рекомендовано отозвать все разрешения, предоставленные после этого времени. Команда указала на revoke.cash как инструмент для этого.
По состоянию на позднее послеобеденное время по UTC не было сообщений о крупных подтвержденных убытках. Члены сообщества отмечали отдельные подозрительные транзакции, но доказательств системного слива, затрагивающего протокол в целом, не было.
Инструмент безопасности Blockaid заблокировал swap.cow.fi и связанные домены, включая cow.fi, в период инцидента. Команда продолжала мониторинг примерно до 18:15 UTC и попросила пользователей с потенциально затронутыми транзакциями предоставить хеши своих транзакций для проверки.
По последним доступным данным, протокол оставался приостановленным, и Cow DAO не подтвердило полное восстановление и не опубликовало отчет о происшествии.
В последние месяцы несколько протоколов DeFi подверглись атакам на фронтенд и DNS. Эти инциденты, как правило, используют уязвимости на уровне регистраторов, такие как социальная инженерия в отношении персонала поддержки или скомпрометированные учетные данные двухфакторной аутентификации, а не какие-либо недостатки в коде смарт-контрактов.
Cow Protocol является частью экосистемы Gnosis и использует пакетные аукционы и сопоставление Coincidence of Wants для обеспечения торговли, защищенной от MEV. С момента запуска протокол обработал транзакции на сумму в миллиарды долларов.
Ожидается, что Cow DAO опубликует полный отчет о происшествии после устранения проблемы с DNS и подтверждения безопасности использования сайта.