Cow Protocol подвергся DNS-угону, пользователям необходимо немедленно отозвать разрешения

Основанная на Cow Protocol DEX-агрегаторная платформа Cow Swap 14 апреля подтвердила, что ее основной фронтенд swap.cow.fi подвергся DNS-угону. Злоумышленники, подменяя записи домена, перенаправили пользовательский трафик на поддельный сайт и развернули процедуру очистки кошелька. После этого Cow DAO незамедлительно приостановил работу протокольного API и бэкенд-сервисов; пользователям необходимо немедленно отозвать соответствующие разрешения.

Полная хронология инцидента

UTC 14:54: DNS-запись swap.cow.fi была изменена; злоумышленник начал направлять трафик на фальшивый интерфейс обмена

UTC 15:41: Cow DAO на платформе X опубликовал публичное предупреждение, посоветовав пользователям полностью прекратить взаимодействие с сайтом в ходе расследования

UTC 16:24: Официально подтвержден DNS-угон: четко указано, что бэкенд протокола и сам API не были скомпрометированы; приостановка сервиса — превентивная мера

UTC 16:33: Cow DAO опубликовал конкретные инструкции, потребовав от пользователей, взаимодействовавших с пострадавшим фронтендом после UTC 14:54, немедленно отозвать разрешения

UTC 18:15: Команда продолжает мониторинг и просит пользователей с подозрительными транзакциями предоставить значения хэшей транзакций для проверки

На момент публикации протокол по-прежнему находится в приостановленном состоянии. Cow DAO еще не объявил о полном восстановлении сервиса и не опубликовал полный отчет о постфакте.

Механизм DNS-угона: почему DeFi-фронтенды по-прежнему остаются высокорисковой точкой входа

DNS-угон не требует взлома кода смарт-контрактов: атака нацелена на уровень инфраструктуры доменных имен. Злоумышленник путем изменения DNS-записей целевого домена перенаправляет трафик на поддельный сервер, а затем развертывает на поддельном интерфейсе процедуру очистки кошелька (Wallet Drainer). Как только пользователь подключает кошелек на фальшивом интерфейсе или подписывает разрешение, вредоносная программа запускает автоматический перевод.

Техническая точка входа таких атак обычно находится не в коде протокола, а на стороне управления доменными именами у провайдера доменных услуг — включая социоинженерные атаки на службу поддержки, использование утекших учетных данных для двухфакторной аутентификации (2FA) или прямое проникновение в учетную запись для администрирования доменов. В последние несколько месяцев несколько DeFi-протоколов уже подвергались аналогичным атакам на DNS фронтендов.

Сам Cow Protocol — некастодиальный протокол, он не хранит никаких пользовательских средств. Данный риск ограничивается только теми пользователями, которые добровольно подписали транзакции на пострадавшем фронтенде. Сообщество сообщило о единичных подозрительных транзакциях, однако на данный момент не подтверждено наличие системного вывода средств, затрагивающего весь протокол.

Список немедленных действий для затронутых пользователей

Если вы после UTC 14:54 заходили на swap.cow.fi или cow.fi и подключали кошелек или подписывали любые транзакции, следует немедленно выполнить следующие шаги：

Руководство по срочным действиям

Перейдите на revoke.cash: немедленно отзовите все соответствующие контрактные разрешения, выданные после указанных выше временных точек

Проверьте историю транзакций кошелька: убедитесь, что не было никаких несанкционированных переводов или необычных действий по выдаче разрешений

Прекратите доступ к соответствующим доменам: до того, как Cow DAO официально подтвердит, что «сайт безопасно доступен», избегайте посещения swap.cow.fi и cow.fi

Отправьте хэш транзакции: если обнаружена подозрительная транзакция, отправьте значение хэша в соответствии с инструкциями Cow DAO для безопасной проверки

Часто задаваемые вопросы

Как происходит DNS-угон в Cow Protocol?

Злоумышленники путем изменения DNS-записей swap.cow.fi перенаправляют трафик легитимных пользователей на фальшивый сайт, на котором развернут Wallet Drainer. Такие атаки обычно осуществляются через социоинженерию в отношении службы поддержки провайдера доменных услуг или с использованием утекших сертификатов 2FA учетной записи управления доменом; атаки не связаны с уязвимостями на уровне смарт-контрактов протокола.

Повлияла ли эта атака на смарт-контракты Cow Protocol?

Нет. Cow DAO однозначно подтвердил, что смарт-контракты и вся инфраструктура в сети в рамках данного инцидента полностью не пострадали. Бэкенд протокола и API также не были взломаны. Приостановка сервиса — чисто превентивная мера, направленная на то, чтобы не дать большему числу пользователей посещать пострадавший фронтенд в период расследования.

Как определить, затронуты ли вы?

Если вы после UTC 14:54 посещали swap.cow.fi или cow.fi и подключали кошелек или подписывали любые транзакции, существует потенциальный риск. Необходимо немедленно перейти на revoke.cash, чтобы отозвать разрешения, и внимательно проверить последние записи транзакций кошелька. Продолжайте следить за официальным аккаунтом Cow DAO на X и дождитесь официального уведомления о восстановлении безопасной работы сервиса.