Cow Protocol はDNSハイジャックされ、ユーザーは直ちに許可を取り消す必要があります
Cow Protocol に基づいて構築された DEX 集約プラットフォーム Cow Swap は、4 月 14 日にメインフロント swap.cow.fi が DNS ハイジャックされたことを確認しました。攻撃者はドメインのレコードを改ざんすることでユーザーのトラフィックを偽装サイトへリダイレクトし、ウォレットの空にする手順(マネーウォレットの清算プロセス)をデプロイしました。Cow DAO は直ちにプロトコルの API およびバックエンドサービスを停止し、ユーザーは関連する承認をすぐに取り消す必要があります。
イベントの完全なタイムライン
UTC 14:54:swap.cow.fi の DNS レコードが改ざんされ、攻撃者がトラフィックを偽装取引インターフェースへ誘導し始める
UTC 15:41:Cow DAO が X プラットフォームで公開警告を発表し、調査期間中はユーザーに対してサイトとのあらゆるやり取りを完全に停止するよう提案
UTC 16:24:公式が DNS ハイジャックを確認し、協議後方のバックエンドおよび API 自体は侵害されていないことを明確に示し、サービス停止は予防的措置であると説明
UTC 16:33:Cow DAO が具体的な手順を発表し、UTC 14:54 以降に影響を受けたフロントエンドとやり取りしたユーザーに対して、直ちに承認を取り消すよう要求
UTC 18:15:チームが継続して監視し、不審な取引を行ったユーザーに対して審査のために取引ハッシュ値の提出を求める
報告時点で、プロトコルは依然として停止状態です。Cow DAO はサービスの完全な復旧をまだ発表しておらず、また完全な事後分析レポートも公開していません。
DNS ハイジャックの攻撃メカニズム:なぜ DeFi のフロントエンドは依然として高リスクな入口なのか
DNS ハイジャックはスマートコントラクトのコード侵入を必要とせず、ドメイン名のインフラ層を標的にして攻撃します。攻撃者は目的のドメインの DNS レコードを改ざんしてトラフィックを偽装サーバーへリダイレクトし、その偽装インターフェース上でウォレットの空にする手順(Wallet Drainer)をデプロイします。ユーザーが偽装インターフェースでウォレットに接続したり承認を署名したりすると、悪意のある手順が自動送金として発動します。
この種の攻撃の技術的な入口は通常、プロトコルのコードではなく、ドメインのサービス提供者の運用・管理側にあります。たとえば、カスタマーサポート担当者へのソーシャルエンジニアリング攻撃、漏えいした二要素認証(2FA)認証情報の利用、あるいはドメイン管理アカウントへの直接侵入などです。ここ数か月で、複数の DeFi プロトコルが相次いで同様のフロントエンド DNS 攻撃に遭っています。
Cow Protocol 自体は非カストディアル(非保管型)のプロトコルであり、ユーザー資金を保有していません。今回のリスクは、影響を受けたフロントエンドで取引の承認を自発的に行ったユーザーに限られます。コミュニティは点在する疑わしい取引を報告していますが、現時点では、プロトコル全体に影響するシステム的な資金の抜き取りが存在することは確認されていません。
影響を受けたユーザーのための即時行動チェックリスト
UTC 14:54 以降に swap.cow.fi または cow.fi を訪問し、ウォレットを接続したり、いかなる取引でも署名したりした場合は、直ちに次の手順を実行する必要があります:
緊急の行動指針
revoke.cash へ移動:上記の時点以降に付与された、関連するすべてのコントラクトの承認を直ちに取り消す
ウォレットの取引履歴を確認:未承認の送金や不審な承認操作がないか確認する
関連するドメインへのアクセスを停止:Cow DAO が「サイトが安全に利用可能」と正式に確認するまで、swap.cow.fi および cow.fi へのアクセスを避ける
送信取引ハッシュ:疑わしい取引が見つかった場合、Cow DAO の指針に従ってハッシュ値を提出し、セキュリティ審査に供する
よくある質問
Cow Protocol の DNS ハイジャックはどのように発生しましたか?
攻撃者は swap.cow.fi の DNS レコードを改ざんし、正規のユーザーのトラフィックを、ウォレットの空にする手順をデプロイした偽装サイトへリダイレクトしました。この種の攻撃は通常、ドメインのサービス提供者のカスタマーサポート担当者に対するソーシャルエンジニアリング攻撃、または漏えいしたドメイン管理アカウントの 2FA 認証情報の利用によって実施され、協議スマートコントラクト層の脆弱性は含まれません。
今回の攻撃は Cow Protocol のスマートコントラクトに影響しましたか?
いいえ。Cow DAO は、スマートコントラクトおよびオンチェーン基盤インフラが本件で完全に影響を受けていないことを明確に確認しています。プロトコルのバックエンドおよび API も同様に侵入されていません。サービス停止は純粋に予防的な措置であり、調査期間中に影響を受けたフロントエンドへさらに多くのユーザーがアクセスすることを防ぐことを目的としています。
自分が影響を受けているかどうかをどう判断すればよいですか?
UTC 14:54 以降に swap.cow.fi または cow.fi を訪問し、ウォレットを接続した場合、または任意の取引に署名した場合、潜在的なリスクがあります。直ちに revoke.cash にアクセスして承認を取り消し、ウォレットの直近の取引履歴を注意深く確認してください。Cow DAO の公式 X アカウントを継続してフォローし、サービスの安全な復旧に関する正式な通知を待ってください。
関連記事