La plateforme d’agrégation DEX Cow Swap, construite sur le protocole Cow Protocol, a confirmé le 14 avril que son front-end principal swap.cow.fi a fait l’objet d’un détournement DNS. L’attaquant a redirigé le trafic des utilisateurs vers un site frauduleux en modifiant les enregistrements de domaine, puis a déployé un programme de vidage de portefeuille. Cow DAO a immédiatement suspendu l’API de l’accord et les services backend ; les utilisateurs doivent révoquer immédiatement les autorisations concernées.
Chronologie complète de l’événement
UTC 14:54 : les enregistrements DNS de swap.cow.fi ont été modifiés ; l’attaquant commence à diriger le trafic vers une interface de transaction frauduleuse
UTC 15:41 : Cow DAO publie un avertissement public sur la plateforme X, recommandant aux utilisateurs d’arrêter totalement toute interaction avec le site pendant la période d’enquête
UTC 16:24 : la confirmation officielle du détournement DNS indique clairement que le backend de l’accord et l’API elle-même n’ont pas été compromis ; la suspension du service est une mesure préventive
UTC 16:33 : Cow DAO publie des instructions précises, exigeant que les utilisateurs ayant interagi avec le front-end compromis après le UTC 14:54 révoquent immédiatement leurs autorisations
UTC 18:15 : l’équipe continue la surveillance, demandant aux utilisateurs ayant effectué des transactions suspectes de soumettre les hachages de transaction pour examen
Au moment de la publication, l’accord est toujours en pause. Cow DAO n’a pas encore annoncé un rétablissement complet du service, et n’a pas non plus publié un rapport d’analyse post-incident complet.
Mécanisme d’attaque du détournement DNS : pourquoi le front-end DeFi reste une entrée à haut risque
Le détournement DNS ne nécessite pas de compromettre le code des contrats intelligents ; l’attaque vise le niveau d’infrastructure des noms de domaine. L’attaquant modifie les enregistrements DNS du domaine cible pour rediriger le trafic vers un serveur frauduleux, puis déploie dans l’interface frauduleuse un programme de vidage de portefeuille (Wallet Drainer). Une fois qu’un utilisateur connecte son portefeuille ou signe une autorisation dans l’interface frauduleuse, le programme malveillant déclenche immédiatement un transfert automatique.
Les entrées techniques de ce type d’attaque se situent généralement non pas dans le code de l’accord, mais au niveau de la gestion des noms de domaine — notamment via des attaques d’ingénierie sociale contre le personnel du service client, l’utilisation de justificatifs 2FA (double authentification) de domaine divulgués, ou une intrusion directe dans le compte de gestion du domaine. Au cours des derniers mois, plusieurs protocoles DeFi ont subi des attaques DNS similaires sur leurs front-ends.
Le protocole Cow Protocol est, lui, un protocole non-custodial et ne détient aucun fonds utilisateur. Le risque se limite donc aux utilisateurs qui ont activement signé des transactions via le front-end compromis. La communauté a signalé quelques transactions suspectes, mais à ce jour, aucun retrait systémique de fonds affectant l’ensemble du protocole n’a été confirmé.
Liste d’actions immédiates pour les utilisateurs concernés
Si vous avez accédé à swap.cow.fi ou cow.fi après le UTC 14:54, et que vous avez connecté un portefeuille ou signé une quelconque transaction, vous devez immédiatement effectuer les étapes suivantes :
Instructions d’action d’urgence
Rendez-vous sur revoke.cash : révoquez immédiatement toutes les autorisations de contrat pertinentes accordées après les horodatages ci-dessus
Vérifiez l’historique des transactions du portefeuille : confirmez s’il y a eu des transferts non autorisés ou des actions d’autorisation inhabituelles
Arrêtez d’accéder aux domaines concernés : évitez d’accéder à swap.cow.fi et cow.fi jusqu’à ce que Cow DAO confirme officiellement que le « site est sûr et utilisable »
Soumettre le hachage de la transaction : si vous trouvez une transaction suspecte, soumettez la valeur de hachage conformément aux instructions de Cow DAO pour un examen de sécurité
Questions fréquentes
Comment le détournement DNS de Cow Protocol s’est-il produit ?
L’attaquant modifie l’enregistrement DNS de swap.cow.fi pour rediriger le trafic des utilisateurs légitimes vers un site frauduleux qui a déployé un programme de vidage de portefeuille. Ce type d’attaque passe généralement par des attaques d’ingénierie sociale contre le service client d’un fournisseur de noms de domaine, ou par l’utilisation de justificatifs 2FA du compte de gestion du domaine divulgués ; il ne s’agit pas de failles au niveau des contrats intelligents de l’accord.
Cette attaque a-t-elle affecté les contrats intelligents de Cow Protocol ?
Non. Cow DAO confirme clairement que les contrats intelligents et l’infrastructure on-chain n’ont été absolument pas affectés par cet événement. Le backend de l’accord et l’API n’ont pas non plus été compromis. La suspension du service est une mesure purement préventive, visant à empêcher davantage d’utilisateurs d’accéder au front-end compromis pendant la période d’enquête.
Comment savoir si je suis concerné ?
Si vous avez accédé à swap.cow.fi ou cow.fi après le UTC 14:54 et que vous avez connecté un portefeuille, ou si vous avez signé une quelconque transaction, il existe un risque potentiel. Allez immédiatement sur revoke.cash pour révoquer les autorisations, puis vérifiez attentivement les enregistrements de transactions récentes du portefeuille. Surveillez en continu le compte officiel X de Cow DAO, en attendant l’annonce officielle du rétablissement en toute sécurité du service.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
CoW Swap interrompt le protocole après un détournement DNS qui vide au moins $1M des fonds des utilisateurs
CoW Swap a suspendu son protocole après une usurpation DNS qui a redirigé les utilisateurs vers un site frauduleux, entraînant plus de $1 millions de dollars de vol de cryptomonnaies. L’incident a conduit à des mesures de précaution et à des avertissements aux utilisateurs, tandis que des mesures de sécurité ont été mises en place.
GateNewsIl y a 1h
Lattice annonce une fermeture : Redstone fermera le 16 mai, les utilisateurs disposeront d’un délai pour effectuer des retraits
Le développeur d’infrastructure pour les jeux de type chaîne Lattice annonce qu’il fermera ses activités le 15 mai et invite les utilisateurs à retirer leurs fonds. Après l’arrêt des activités, les fonds du contrat ne peuvent pas être retirés via les contrats L1 ; seuls les fonds des portefeuilles personnels peuvent être récupérés. Lattice n’a pas réussi à concrétiser son modèle économique au cours des cinq dernières années et a finalement décidé de fermer, mais son framework MUD et le jeu DUST continueront de fonctionner.
MarketWhisperIl y a 2h
L’utilisateur perd $316K USDC après avoir signé une transaction malveillante Permit2 ; GoPlus avertit
Un utilisateur a perdu 316 000 $ en USDC à cause d’une transaction malveillante Permit2, mettant en évidence des vulnérabilités des mécanismes d’approbation des jetons. GoPlus Security exhorte les utilisateurs à éviter le phishing en suivant des pratiques de sécurité clés et en installant son extension de protection.
GateNewsIl y a 4h
Alerte de sécurité : problèmes liés à CoW Swap après qu’une attaque du front-end ait été détectée par Blockaid
Blockaid a identifié une attaque au niveau du front-end sur CoW Swap, signalant son domaine comme malveillant. Il est conseillé aux utilisateurs de cesser toute interaction, de révoquer les autorisations du portefeuille, et d’attendre de nouvelles mises à jour de la part de l’équipe de CoW Swap.
GateNewsIl y a 10h
La Fondation Ethereum l’utilise aussi ! L’interface de CoW Swap a été piratée, des experts DeFi recommandent de révoquer l’autorisation (revoke)
La plateforme DeFi d’Ethereum CoW Swap a été victime d’une attaque par détournement DNS le 14 avril, exposant potentiellement les utilisateurs à un risque de phishing. Bien que le protocole lui-même n’ait pas été compromis, le risque d’attaque via le front-end reste élevé. Dans le secteur, il est recommandé aux utilisateurs de révoquer leurs autorisations avant d’agir à l’avenir. CoW Swap propose des fonctions de transactions par lots et se protège contre les attaques MEV ; son incident de sécurité pourrait avoir un impact sur l’ensemble de l’écosystème DeFi.
ChainNewsAbmediaIl y a 10h
