Cow Protocol 遭 DNS 劫持，用户需立即撤销授权

基于 Cow Protocol 构建的 DEX 聚合平台 Cow Swap 于 4 月 14 日确认其主前端 swap.cow.fi 遭到 DNS 劫持，攻击者通过篡改域名记录将用户流量重定向至仿冒网站，并部署钱包清空程序。Cow DAO 随即暂停协议 API 与后端服务，用户须立即撤销相关授权。

事件完整时间轴

UTC 14:54：swap.cow.fi 的 DNS 记录遭到篡改，攻击者开始将流量导向仿冒交易界面

UTC 15:41：Cow DAO 在 X 平台发布公开警告，建议用户在调查期间完全停止与网站互动

UTC 16:24：官方确认 DNS 劫持，明确指出协议后端和 API 本身未遭入侵，服务暂停属预防性措施

UTC 16:33：Cow DAO 发布具体指引，要求 UTC 14:54 后与受损前端互动的用户立即撤销授权

UTC 18:15：团队持续监控，要求可疑交易用户提交交易哈希值以供审查

截至报道时，协议仍处于暂停状态，Cow DAO 尚未宣布完全恢复服务，亦未发布完整的事后分析报告。

DNS 劫持的攻击机制：为何 DeFi 前端仍是高风险入口

DNS 劫持不需要入侵智能合约代码，而是针对域名基础设施层面发起攻击。攻击者通过篡改目标域名的 DNS 记录，将流量重定向至仿冒服务器，再在仿冒界面中部署钱包清空程序（Wallet Drainer）。一旦用户在仿冒界面连接钱包或签署授权，恶意程序即触发自动转账。

此类攻击的技术入口通常不在协议代码之中，而在域名服务商管理层面——包括对客服人员进行社会工程攻击、利用外泄的双因素认证（2FA）凭证，或直接入侵域名管理账户。近几个月，多个 DeFi 协议已先后遭遇类似的前端 DNS 攻击。

Cow Protocol 本身属非托管协议，不持有任何用户资金，此次风险仅限于在受损前端主动签署交易的用户。社群报告了零星的可疑交易，但截至目前尚未确认存在影响整个协议的系统性资金抽取。

受影响用户的即时报行动清单

如果您在 UTC 14:54 之后访问了 swap.cow.fi 或 cow.fi，并连接钱包或签署任何交易，应立即采取以下步骤：

紧急行动指引

前往 revoke.cash：立即撤销在上述时间点之后授予的所有相关合约授权

核查钱包交易记录：确认是否有任何未经授权的转账或不寻常的授权操作

停止访问相关域名：在 Cow DAO 正式确认「网站安全可用」前，避免访问 swap.cow.fi 及 cow.fi

提交交易哈希：若发现可疑交易，按 Cow DAO 指引提交哈希值以供安全审查

常见问题

Cow Protocol 的 DNS 劫持是如何发生的？

攻击者通过篡改 swap.cow.fi 的 DNS 记录，将合法用户流量重定向至部署了钱包清空程序的仿冒网站。这类攻击通常通过对域名服务商客服进行社会工程攻击，或利用外泄的域名管理账户 2FA 凭证实施，不涉及协议智能合约层面的漏洞。

此次攻击是否影响了 Cow Protocol 的智能合约？

没有。Cow DAO 明确确认，智能合约和链上基础设施在此次事件中完全未受影响。协议后端及 API 同样未遭入侵，服务暂停属纯粹的预防性措施，旨在防止更多用户在调查期间访问受损前端。

如何判断自己是否受到影响？

若您在 UTC 14:54 之后访问了 swap.cow.fi 或 cow.fi 并连接钱包，或签署了任何交易，则存在潜在风险。应立即前往 revoke.cash 撤销授权，并仔细核查钱包的近期交易记录。持续关注 Cow DAO 的官方 X 帐号，等待服务安全恢复的正式通知。