Cow Protocol 遭 DNS 劫持,用戶需立即撤銷授權
基於 Cow Protocol 構建的 DEX 聚合平台 Cow Swap 於 4 月 14 日確認其主前端 swap.cow.fi 遭到 DNS 劫持,攻擊者透過篡改域名記錄將用戶流量重定向至偽冒網站,並部署錢包清空程序。Cow DAO 隨即暫停協議 API 與後端服務,用戶須立即撤銷相關授權。
事件完整時間軸
UTC 14:54:swap.cow.fi 的 DNS 記錄遭到篡改,攻擊者開始將流量導向偽冒交易界面
UTC 15:41:Cow DAO 在 X 平台發布公開警告,建議用戶在調查期間完全停止與網站互動
UTC 16:24:官方確認 DNS 劫持,明確指出協議後端和 API 本身未遭入侵,服務暫停屬預防性措施
UTC 16:33:Cow DAO 發布具體指引,要求 UTC 14:54 後與受損前端互動的用戶立即撤銷授權
UTC 18:15:團隊持續監控,要求可疑交易用戶提交交易哈希值以供審查
截至報導時,協議仍處於暫停狀態,Cow DAO 尚未宣布完全恢復服務,亦未發布完整的事後分析報告。
DNS 劫持的攻擊機制:為何 DeFi 前端仍是高風險入口
DNS 劫持不需要入侵智能合約程式碼,而是針對域名基礎設施層面發動攻擊。攻擊者透過篡改目標域名的 DNS 記錄,將流量重定向至偽冒服務器,再在偽冒界面中部署錢包清空程序(Wallet Drainer)。一旦用戶在偽冒界面連接錢包或簽署授權,惡意程序即觸發自動轉帳。
此類攻擊的技術入口通常不在協議程式碼,而在域名服務商管理層面——包括對客服人員進行社會工程攻擊、利用外洩的雙因素認證(2FA)憑證,或直接入侵域名管理帳戶。近幾個月,多個 DeFi 協議已先後遭遇類似的前端 DNS 攻擊。
Cow Protocol 本身屬非託管協議,不持有任何用戶資金,此次風險僅限於在受損前端主動簽署交易的用戶。社群報告了零星的可疑交易,但截至目前尚未確認存在影響整個協議的系統性資金抽取。
受影響用戶的即時行動清單
若您在 UTC 14:54 之後訪問了 swap.cow.fi 或 cow.fi,並連接錢包或簽署任何交易,應立即採取以下步驟:
緊急行動指引
前往 revoke.cash:立即撤銷在上述時間點之後授予的所有相關合約授權
核查錢包交易記錄:確認是否有任何未經授權的轉帳或不尋常的授權操作
停止訪問相關域名:在 Cow DAO 正式確認「網站安全可用」前,避免訪問 swap.cow.fi 及 cow.fi
提交交易哈希:若發現可疑交易,按 Cow DAO 指引提交哈希值以供安全審查
常見問題
Cow Protocol 的 DNS 劫持是如何發生的?
攻擊者透過篡改 swap.cow.fi 的 DNS 記錄,將合法用戶流量重定向至部署了錢包清空程序的偽冒網站。這類攻擊通常透過對域名服務商客服進行社會工程攻擊,或利用外洩的域名管理帳戶 2FA 憑證實施,不涉及協議智能合約層面的漏洞。
此次攻擊是否影響了 Cow Protocol 的智能合約?
沒有。Cow DAO 明確確認,智能合約和鏈上基礎設施在此次事件中完全未受影響。協議後端及 API 同樣未遭入侵,服務暫停屬純粹的預防性措施,旨在防止更多用戶在調查期間訪問受損前端。
如何判斷自己是否受到影響?
若您在 UTC 14:54 之後訪問了 swap.cow.fi 或 cow.fi 並連接錢包,或簽署了任何交易,則存在潛在風險。應立即前往 revoke.cash 撤銷授權,並仔細核查錢包的近期交易紀錄。持續關注 Cow DAO 的官方 X 帳號,等待服務安全恢復的正式通知。
相關文章
Kyrgyzstan-based CEX Halts Trading After $15M USDT Cyberattack and Wallet Breach