Cow Protocol 遭 DNS 劫持，用戶需立即撤銷授權

基於 Cow Protocol 構建的 DEX 聚合平台 Cow Swap 於 4 月 14 日確認其主前端 swap.cow.fi 遭到 DNS 劫持，攻擊者透過篡改域名記錄將用戶流量重定向至偽冒網站，並部署錢包清空程序。Cow DAO 隨即暫停協議 API 與後端服務，用戶須立即撤銷相關授權。

事件完整時間軸

UTC 14:54：swap.cow.fi 的 DNS 記錄遭到篡改，攻擊者開始將流量導向偽冒交易界面

UTC 15:41：Cow DAO 在 X 平台發布公開警告，建議用戶在調查期間完全停止與網站互動

UTC 16:24：官方確認 DNS 劫持，明確指出協議後端和 API 本身未遭入侵，服務暫停屬預防性措施

UTC 16:33：Cow DAO 發布具體指引，要求 UTC 14:54 後與受損前端互動的用戶立即撤銷授權

UTC 18:15：團隊持續監控，要求可疑交易用戶提交交易哈希值以供審查

截至報導時，協議仍處於暫停狀態，Cow DAO 尚未宣布完全恢復服務，亦未發布完整的事後分析報告。

DNS 劫持的攻擊機制：為何 DeFi 前端仍是高風險入口

DNS 劫持不需要入侵智能合約程式碼，而是針對域名基礎設施層面發動攻擊。攻擊者透過篡改目標域名的 DNS 記錄，將流量重定向至偽冒服務器，再在偽冒界面中部署錢包清空程序（Wallet Drainer）。一旦用戶在偽冒界面連接錢包或簽署授權，惡意程序即觸發自動轉帳。

此類攻擊的技術入口通常不在協議程式碼，而在域名服務商管理層面——包括對客服人員進行社會工程攻擊、利用外洩的雙因素認證（2FA）憑證，或直接入侵域名管理帳戶。近幾個月，多個 DeFi 協議已先後遭遇類似的前端 DNS 攻擊。

Cow Protocol 本身屬非託管協議，不持有任何用戶資金，此次風險僅限於在受損前端主動簽署交易的用戶。社群報告了零星的可疑交易，但截至目前尚未確認存在影響整個協議的系統性資金抽取。

受影響用戶的即時行動清單

若您在 UTC 14:54 之後訪問了 swap.cow.fi 或 cow.fi，並連接錢包或簽署任何交易，應立即採取以下步驟：

緊急行動指引

前往 revoke.cash：立即撤銷在上述時間點之後授予的所有相關合約授權

核查錢包交易記錄：確認是否有任何未經授權的轉帳或不尋常的授權操作

停止訪問相關域名：在 Cow DAO 正式確認「網站安全可用」前，避免訪問 swap.cow.fi 及 cow.fi

提交交易哈希：若發現可疑交易，按 Cow DAO 指引提交哈希值以供安全審查

常見問題

Cow Protocol 的 DNS 劫持是如何發生的？

攻擊者透過篡改 swap.cow.fi 的 DNS 記錄，將合法用戶流量重定向至部署了錢包清空程序的偽冒網站。這類攻擊通常透過對域名服務商客服進行社會工程攻擊，或利用外洩的域名管理帳戶 2FA 憑證實施，不涉及協議智能合約層面的漏洞。

此次攻擊是否影響了 Cow Protocol 的智能合約？

沒有。Cow DAO 明確確認，智能合約和鏈上基礎設施在此次事件中完全未受影響。協議後端及 API 同樣未遭入侵，服務暫停屬純粹的預防性措施，旨在防止更多用戶在調查期間訪問受損前端。

如何判斷自己是否受到影響？

若您在 UTC 14:54 之後訪問了 swap.cow.fi 或 cow.fi 並連接錢包，或簽署了任何交易，則存在潛在風險。應立即前往 revoke.cash 撤銷授權，並仔細核查錢包的近期交易紀錄。持續關注 Cow DAO 的官方 X 帳號，等待服務安全恢復的正式通知。