Cow Protocol wird per DNS-Hijacking angegriffen, Nutzer müssen ihre Autorisierung umgehend widerrufen

Die auf dem Cow Protocol basierende DEX-Aggregationsplattform Cow Swap hat am 14. April bestätigt, dass das primäre Frontend swap.cow.fi einem DNS-Hijacking zum Opfer gefallen ist. Der Angreifer hat den Domain-Eintrag so manipuliert, dass der Nutzerverkehr auf eine gefälschte Website umgeleitet wird, und außerdem ein Wallet-Leerungsprogramm bereitgestellt. Daraufhin hat der Cow DAO die Protokoll-API und die Backend-Dienste umgehend pausiert; Nutzer müssen ihre entsprechenden Berechtigungen sofort widerrufen.

Komplette Ereignis-Zeitleiste

UTC 14:54：Die DNS-Aufzeichnungen von swap.cow.fi wurden manipuliert, der Angreifer beginnt, den Verkehr auf die gefälschte Handelsoberfläche umzuleiten

UTC 15:41：Der Cow DAO veröffentlicht auf der X-Plattform eine öffentliche Warnung und empfiehlt Nutzern, während der Untersuchung vollständig die Interaktion mit der Website einzustellen

UTC 16:24：Offiziell wird das DNS-Hijacking bestätigt; es wird eindeutig darauf hingewiesen, dass das Protokoll-Backend und die API selbst nicht kompromittiert wurden, und die Dienstpause eine präventive Maßnahme ist

UTC 16:33：Der Cow DAO veröffentlicht konkrete Anweisungen und fordert Nutzer auf, die nach UTC 14:54 mit dem beeinträchtigten Frontend interagiert haben, ihre Berechtigungen umgehend zu widerrufen

UTC 18:15：Das Team überwacht weiterhin und fordert verdächtige Transaktionsnutzer auf, Transaktions-Hashes zur Überprüfung einzureichen

Bis zum Zeitpunkt der Berichterstattung befindet sich das Protokoll noch im Pausenzustand. Der Cow DAO hat noch nicht angekündigt, dass der Dienst vollständig wiederhergestellt wurde, und hat auch keinen vollständigen Post-Mortem-Analysebericht veröffentlicht.

Angriffsmechanismus beim DNS-Hijacking: Warum ist das DeFi-Frontend weiterhin ein Hochrisiko-Einstiegspunkt

DNS-Hijacking erfordert keinen Einbruch in den Quellcode von Smart Contracts, sondern zielt stattdessen auf der Ebene der DNS-Domain-Infrastruktur ab. Der Angreifer manipuliert die DNS-Einträge der Ziel-Domain, um den Datenverkehr auf einen gefälschten Server umzuleiten, und implementiert anschließend im gefälschten Interface ein Wallet-Leerungsprogramm (Wallet Drainer). Sobald ein Nutzer im gefälschten Interface die Wallet verbindet oder eine Berechtigung signiert, wird das bösartige Programm ausgelöst und führt automatisch Überweisungen aus.

Der technische Einstiegspunkt solcher Angriffe liegt üblicherweise nicht im Protokollcode, sondern auf der Domain-Dienstanbieter-Ebene – einschließlich Social-Engineering-Angriffen gegen den Kundendienst, der Verwendung geleakter 2FA-Zertifikate (Two-Factor Authentication) oder dem direkten Einbruch in das Domain-Verwaltungskonto. In den letzten Monaten haben mehrere DeFi-Protokolle nacheinander ähnliche Frontend-DNS-Angriffe erlitten.

Das Cow Protocol selbst ist ein nicht-kustodiales Protokoll und hält keine Nutzergelder. Das Risiko beschränkt sich daher nur auf Nutzer, die auf dem beeinträchtigten Frontend aktiv Transaktionen unterschrieben haben. Die Community hat vereinzelte verdächtige Transaktionen gemeldet, aber bis jetzt wurde noch nicht bestätigt, dass es systematisches Abziehen von Geldern gibt, das das gesamte Protokoll betrifft.

Sofortliste der Maßnahmen für betroffene Nutzer

Wenn Sie nach UTC 14:54 swap.cow.fi oder cow.fi aufgerufen haben und eine Wallet verbunden oder irgendeine Transaktion signiert haben, sollten Sie sofort die folgenden Schritte ausführen：

Leitfaden für dringende Maßnahmen

Gehen Sie zu revoke.cash：Widerrufen Sie sofort alle relevanten Contract-Berechtigungen, die nach den oben genannten Zeitpunkten erteilt wurden

Wallet-Transaktionsverlauf prüfen：Bestätigen Sie, ob es irgendwelche nicht autorisierten Überweisungen oder ungewöhnliche Berechtigungsoperationen gab

Zugehörige Domains nicht mehr aufrufen：Bevor der Cow DAO offiziell bestätigt hat, dass die „Website sicher verfügbar“ ist, vermeiden Sie den Besuch von swap.cow.fi und cow.fi

Transaktions-Hash einreichen：Wenn Sie eine verdächtige Transaktion feststellen, reichen Sie den Hash-Wert gemäß den Anweisungen des Cow DAO zur sicheren Überprüfung ein

Häufige Fragen

Wie kam es zum DNS-Hijacking beim Cow Protocol?

Der Angreifer hat die DNS-Einträge von swap.cow.fi manipuliert, wodurch der legitime Nutzerverkehr auf eine gefälschte Website umgeleitet wurde, die ein Wallet-Leerungsprogramm bereitstellt. Solche Angriffe werden üblicherweise durch Social Engineering gegen den Kundendienst des Domain-Dienstanbieters umgesetzt oder indem geleakte 2FA-Zertifikate des Domain-Verwaltungskontos verwendet werden; es handelt sich nicht um Schwachstellen auf der Smart-Contract-Ebene des Protokolls.

Hat der Angriff dieses Mal die Smart Contracts des Cow Protocols betroffen?

Nein. Der Cow DAO hat eindeutig bestätigt, dass die Smart Contracts und die On-Chain-Infrastruktur in diesem Vorfall vollständig nicht betroffen waren. Das Protokoll-Backend und die API wurden ebenfalls nicht kompromittiert; die Dienstpause ist eine rein präventive Maßnahme, die darauf abzielt, zu verhindern, dass weitere Nutzer während der Untersuchung auf das beeinträchtigte Frontend zugreifen.

Wie kann ich feststellen, ob ich betroffen bin?

Wenn Sie nach UTC 14:54 swap.cow.fi oder cow.fi aufgerufen und eine Wallet verbunden haben oder irgendeine Transaktion signiert haben, besteht ein potenzielles Risiko. Gehen Sie sofort zu revoke.cash, um die Berechtigungen zu widerrufen, und prüfen Sie sorgfältig die jüngsten Transaktionsaufzeichnungen Ihrer Wallet. Achten Sie weiterhin auf die offiziellen X-Konten des Cow DAO und warten Sie auf die offizielle Benachrichtigung, dass der Dienst sicher wiederhergestellt wurde.