A plataforma de agregação DEX Cow Swap, construída com base no Cow Protocol, confirmou a 14 de abril que o seu front-end principal swap.cow.fi foi alvo de sequestro de DNS. O atacante redirecionou o tráfego dos utilizadores para um website falso através da adulteração dos registos de domínio e implementou um programa de esvaziamento de carteiras. De imediato, a Cow DAO suspendeu as APIs do protocolo e os serviços de back-end; os utilizadores devem revogar imediatamente as autorizações relevantes.
Linha temporal completa do evento
UTC 14:54:Os registos de DNS de swap.cow.fi foram adulterados; o atacante começou a encaminhar o tráfego para uma interface de negociação falsa
UTC 15:41:A Cow DAO publicou um aviso público na plataforma X, recomendando que os utilizadores interrompam completamente a interação com o website durante a investigação
UTC 16:24:A confirmação oficial do sequestro de DNS; é indicado de forma clara que o back-end e a API do protocolo em si não foram comprometidos, e que a suspensão do serviço é uma medida preventiva
UTC 16:33:A Cow DAO divulgou orientações específicas, exigindo que os utilizadores que interagiram com o front-end afetado após as UTC 14:54 revoguem imediatamente as autorizações
UTC 18:15:A equipa continua a monitorizar e solicita que os utilizadores de transações suspeitas submetam os valores de hash das transações para análise
Até ao momento da publicação, o protocolo continua em estado de pausa. A Cow DAO ainda não anunciou uma recuperação total do serviço, nem publicou um relatório completo de análise pós-evento.
Mecanismo de ataque do sequestro de DNS: porque é que o front-end DeFi continua a ser uma porta de entrada de alto risco
O sequestro de DNS não requer invasão do código de contratos inteligentes. Em vez disso, o ataque é lançado ao nível da infraestrutura de domínios. O atacante, ao adulterar os registos de DNS do domínio-alvo, redireciona o tráfego para um servidor falso e, em seguida, implementa no interface falso um programa de esvaziamento de carteiras (Wallet Drainer). Assim que um utilizador liga a carteira na interface falsa ou assina uma autorização, o procedimento malicioso é acionado para transferências automáticas.
A porta técnica deste tipo de ataque normalmente não está no código do protocolo, mas sim na camada de gestão dos serviços de domínios — incluindo ataques de engenharia social aos agentes de apoio ao cliente, o uso de credenciais de 2FA (autenticação multifator) de domínio que foram expostas, ou uma invasão direta da conta de gestão do domínio. Nos últimos meses, vários protocolos DeFi foram alvo de ataques semelhantes ao DNS do front-end, um após o outro.
O próprio Cow Protocol é um protocolo não-custodial e não detém quaisquer fundos dos utilizadores. Este risco limita-se apenas aos utilizadores que assinam ativamente transações no front-end afetado. A comunidade reportou algumas transações suspeitas, mas até ao momento não foi confirmado que exista uma extração sistemática de fundos que afete todo o protocolo.
Lista de ações imediatas para utilizadores afetados
Se visitou swap.cow.fi ou cow.fi após as UTC 14:54 e ligou a carteira ou assinou qualquer transação, deve tomar imediatamente os seguintes passos:
Guia de ação urgente
Aceda a revoke.cash:Revogue imediatamente todas as autorizações de contratos relacionadas concedidas após os momentos acima
Verifique o histórico de transações da carteira:Confirme se houve quaisquer transferências não autorizadas ou operações de autorização pouco usuais
Pare de aceder aos domínios relevantes:Antes da confirmação oficial da Cow DAO de que “o website está seguro e disponível”, evite aceder a swap.cow.fi e cow.fi
Submeta o hash da transação:Se detetar uma transação suspeita, submeta o valor de hash de acordo com as orientações da Cow DAO para uma revisão de segurança
Perguntas frequentes
Como é que ocorre o sequestro de DNS no Cow Protocol?
O atacante redireciona o tráfego de utilizadores legítimos para um website falso que implementou um programa de esvaziamento de carteiras ao adulterar os registos de DNS de swap.cow.fi. Este tipo de ataque normalmente é realizado através de engenharia social dirigida ao apoio ao cliente do fornecedor de domínios, ou através do uso de credenciais 2FA do domínio que foram expostas, não envolvendo vulnerabilidades ao nível de contratos inteligentes do protocolo.
Este ataque afetou os contratos inteligentes do Cow Protocol?
Não. A Cow DAO confirmou de forma explícita que os contratos inteligentes e a infraestrutura on-chain não foram afetados em absoluto neste incidente. O back-end do protocolo e a API também não foram comprometidos. A suspensão do serviço é apenas uma medida preventiva, destinada a impedir que mais utilizadores acedam ao front-end afetado durante a investigação.
Como posso saber se fui afetado?
Se acedeu a swap.cow.fi ou cow.fi após as UTC 14:54 e ligou a carteira, ou assinou quaisquer transações, existe um risco potencial. Deve revogar as autorizações imediatamente em revoke.cash e verificar cuidadosamente o histórico recente de transações da sua carteira. Continue a acompanhar a conta oficial da Cow DAO no X, aguardando a notificação formal de que o serviço foi restabelecido com segurança.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Circle é alvo de ação coletiva do Drift; obrigações de congelamento do USDC geram disputa legal
Por meio do representante dos investidores do Drift Protocol, Joshua McCollum, mais de 100 membros entraram com uma ação na terça-feira no Tribunal Distrital dos Estados Unidos no estado de Massachusetts contra a Circle, acusando-a de permitir que o invasor transferisse cerca de 230 milhões de dólares em USDC para o Ethereum por meio de um protocolo de transferência entre cadeias no evento de roubo de aproximadamente 280 milhões de dólares do Drift Protocol em 1º de abril.
MarketWhisper19m atrás
Tether congela 3,29M de USDT no endereço do hacker da Rhea Finance
O CEO da Tether, Paolo Ardoino, anunciou o congelamento de 3,29 milhões de USDT ligados a um hacker associado ao roubo de US$ 7,6 milhões da Rhea Finance, devido a um ataque a um contrato de token falso.
GateNews1h atrás
Circle Enfrenta Ação Coletiva por $230M USDC Não Bloqueado no Ataque ao Drift Protocol
A Circle enfrenta uma ação coletiva por não ter congelado $230 milhão em USDC roubado após o ataque ao Drift Protocol. Os autores alegam que os protocolos da Circle permitiram que os atacantes movessem e convertessem os fundos roubados sem intervenção, levantando preocupações sobre as responsabilidades da empresa no monitoramento de transferências entre cadeias.
GateNews1h atrás
Rhea Finance 760 萬美元被盜,DeFi 偽造代幣攻擊預言機
去中心化金融協議 Rhea Finance 於 4 月 16 日遭遇重大的安全漏洞,損失約 760 萬美元。攻擊者透過創建欺詐性代幣合約操控預言機,致使協議錯誤評估資產價值。此次損失佔 Rhea Finance 總鎖定價值的約 6%,證明了 DeFi 領域中預言機操縱攻擊的風險。用戶應謹慎評估資產風險。
MarketWhisper1h atrás
Grinex é hackeada, pausa negociações e 15 milhões em suspensão, com acusações apontando para “país hostil”
A exchange de criptomoedas Grinex, da República do Quirguistão, por ter sofrido um ataque cibernético em larga escala, suspendeu as negociações e saques e perdeu cerca de US$ 15 milhões em USDT. Os fundos roubados foram convertidos rapidamente em TRX e ETH para reduzir o risco de congelamento. Acredita-se que a Grinex seja sucessora da exchange sancionada Garantex, tornando-se a principal plataforma de negociação de criptomoedas em troca de rublo. A declaração de ataque da Grinex direciona o caso para “atores de um país hostil”, mas não apresenta evidências concretas.
MarketWhisper1h atrás
CEX com base no Quirguistão interrompe negociações após ciberataque de $15M USDT e violação de carteira
Uma exchange de criptomoedas baseada no Quirguistão suspendeu as negociações depois que hackers roubaram mais de $15 milhões em USDT. Os atacantes moveram os fundos entre blockchains para evitar detecção. O incidente destaca os riscos em exchanges centralizadas, especialmente em áreas menos regulamentadas.
GateNews2h atrás
