Cow Protocol зазнав DNS-хаюдження, користувачам потрібно негайно відкликати повноваження

Побудована на основі Cow Protocol DEX-агрегаційна платформа Cow Swap 14 квітня підтвердила, що її основний фронтенд swap.cow.fi зазнав DNS-атаки з підміною. Зловмисник перенаправив трафік користувачів на фішинговий сайт шляхом підробки записів домену та розгорнув процедуру спорожнення гаманця. Cow DAO одразу призупинила роботу протоколу API та бекенд-сервісів; користувачам потрібно негайно відкликати відповідні дозволи.

Повний таймлайн події

UTC 14:54：DNS-запис swap.cow.fi було змінено; зловмисник почав спрямовувати трафік на фішинговий торговий інтерфейс

UTC 15:41：Cow DAO на платформі X опублікувала публічне попередження, закликаючи користувачів під час розслідування повністю припинити взаємодію із сайтом

UTC 16:24：офіційно підтверджено DNS-атаки з підміною; чітко зазначено, що бекенд протоколу та API самі по собі не були скомпрометовані, а призупинення сервісів є превентивним заходом

UTC 16:33：Cow DAO опублікувала конкретні вказівки, вимагаючи від користувачів, які взаємодіяли з пошкодженим фронтендом після UTC 14:54, негайно відкликати дозволи

UTC 18:15：команда продовжує моніторинг і просить користувачів підозрілих транзакцій надати хеші транзакцій для перевірки

Станом на час публікації звіту протокол і далі перебуває в призупиненому стані. Cow DAO ще не оголосила про повне відновлення сервісів і також не опублікувала повний звіт із детальним розбором інциденту.

Механізм DNS-атаки: чому DeFi-фронтенд залишається високоризиковою точкою входу

DNS-атака з підміною не потребує злому коду смартконтрактів. Натомість напад спрямовується на рівень інфраструктури доменних імен. Зловмисник, змінюючи DNS-записи цільового домену, перенаправляє трафік на фішинговий сервер, а потім розгортає на фішинговому інтерфейсі процедуру спорожнення гаманця (Wallet Drainer). Щойно користувач у фішинговому інтерфейсі підключить гаманець або підпише дозвіл, шкідливий процес одразу запускає автоматичне переказування.

Технічна точка входу таких атак зазвичай не в коді протоколу, а на рівні керування доменами в доменному сервіс-провайдері — зокрема через соціальну інженерію щодо сапорт-персоналу, використання витокових облікових даних для двофакторної автентифікації (2FA), або пряме проникнення в обліковий запис, що керує доменами. Упродовж останніх кількох місяців кілька DeFi-протоколів одна за одною зазнавали подібних DNS-атак на фронтенд.

Сам Cow Protocol є некастодіальним протоколом і не зберігає жодних коштів користувачів. Цей ризик обмежується лише тими користувачами, які під час інциденту активно підписували транзакції в пошкодженому фронтенді. У спільноті повідомляли про поодинокі підозрілі транзакції, але станом на зараз не підтверджено, що існує системне вилучення коштів, яке впливає на весь протокол.

Негайний список дій для постраждалих користувачів

Якщо ви після UTC 14:54 відвідували swap.cow.fi або cow.fi та підключали гаманець або підписували будь-які транзакції, слід негайно виконати такі кроки：

Керівництво з термінових дій

Перейдіть на revoke.cash：негайно відкличте всі пов’язані дозволи контрактів, надані після вищезазначених часових міток

Перевірте історію транзакцій гаманця：переконайтеся, чи не було будь-яких переказів без дозволу або незвичних дій із надання дозволів

Припиніть відвідування відповідних доменів：до офіційного підтвердження Cow DAO, що «сайт безпечно доступний», уникайте відвідування swap.cow.fi та cow.fi

Надішліть хеш транзакції：якщо виявите підозрілу транзакцію, надішліть хеш-значення згідно з вказівками Cow DAO для безпечного розгляду

Поширені запитання

Як відбулася DNS-атака з підміною в Cow Protocol?

Зловмисник перенаправив законний трафік користувачів на фішинговий сайт, у якому було розгорнуто процедуру спорожнення гаманця, шляхом підміни DNS-запису swap.cow.fi. Зазвичай такі атаки здійснюються через соціальну інженерію щодо служби підтримки доменного сервіс-провайдера або через використання облікових даних для 2FA, пов’язаних із витоком облікового запису керування доменами; вони не передбачають вразливостей на рівні смартконтрактів протоколу.

Чи впала ця атака на смартконтракти Cow Protocol?

Ні. Cow DAO чітко підтвердила, що смартконтракти та інфраструктура в ланцюжку під час цієї події були повністю неушкоджені. Бекенд протоколу та API також не були скомпрометовані; призупинення сервісів є суто превентивним заходом, спрямованим на те, щоб під час розслідування запобігти доступу більшої кількості користувачів до пошкодженого фронтенду.

Як зрозуміти, чи я постраждав?

Якщо ви після UTC 14:54 відвідували swap.cow.fi або cow.fi та підключали гаманець, або підписували будь-які транзакції, існує потенційний ризик. Негайно перейдіть на revoke.cash, щоб відкликати дозволи, та уважно перевірте недавню історію транзакцій свого гаманця. Постійно стежте за офіційним акаунтом Cow DAO у X і чекайте на офіційне повідомлення про безпечне відновлення сервісу.