Die auf dem Cow Protocol basierende DEX-Aggregationsplattform Cow Swap hat am 14. April bestätigt, dass das primäre Frontend swap.cow.fi einem DNS-Hijacking zum Opfer gefallen ist. Der Angreifer hat den Domain-Eintrag so manipuliert, dass der Nutzerverkehr auf eine gefälschte Website umgeleitet wird, und außerdem ein Wallet-Leerungsprogramm bereitgestellt. Daraufhin hat der Cow DAO die Protokoll-API und die Backend-Dienste umgehend pausiert; Nutzer müssen ihre entsprechenden Berechtigungen sofort widerrufen.
Komplette Ereignis-Zeitleiste
UTC 14:54:Die DNS-Aufzeichnungen von swap.cow.fi wurden manipuliert, der Angreifer beginnt, den Verkehr auf die gefälschte Handelsoberfläche umzuleiten
UTC 15:41:Der Cow DAO veröffentlicht auf der X-Plattform eine öffentliche Warnung und empfiehlt Nutzern, während der Untersuchung vollständig die Interaktion mit der Website einzustellen
UTC 16:24:Offiziell wird das DNS-Hijacking bestätigt; es wird eindeutig darauf hingewiesen, dass das Protokoll-Backend und die API selbst nicht kompromittiert wurden, und die Dienstpause eine präventive Maßnahme ist
UTC 16:33:Der Cow DAO veröffentlicht konkrete Anweisungen und fordert Nutzer auf, die nach UTC 14:54 mit dem beeinträchtigten Frontend interagiert haben, ihre Berechtigungen umgehend zu widerrufen
UTC 18:15:Das Team überwacht weiterhin und fordert verdächtige Transaktionsnutzer auf, Transaktions-Hashes zur Überprüfung einzureichen
Bis zum Zeitpunkt der Berichterstattung befindet sich das Protokoll noch im Pausenzustand. Der Cow DAO hat noch nicht angekündigt, dass der Dienst vollständig wiederhergestellt wurde, und hat auch keinen vollständigen Post-Mortem-Analysebericht veröffentlicht.
Angriffsmechanismus beim DNS-Hijacking: Warum ist das DeFi-Frontend weiterhin ein Hochrisiko-Einstiegspunkt
DNS-Hijacking erfordert keinen Einbruch in den Quellcode von Smart Contracts, sondern zielt stattdessen auf der Ebene der DNS-Domain-Infrastruktur ab. Der Angreifer manipuliert die DNS-Einträge der Ziel-Domain, um den Datenverkehr auf einen gefälschten Server umzuleiten, und implementiert anschließend im gefälschten Interface ein Wallet-Leerungsprogramm (Wallet Drainer). Sobald ein Nutzer im gefälschten Interface die Wallet verbindet oder eine Berechtigung signiert, wird das bösartige Programm ausgelöst und führt automatisch Überweisungen aus.
Der technische Einstiegspunkt solcher Angriffe liegt üblicherweise nicht im Protokollcode, sondern auf der Domain-Dienstanbieter-Ebene – einschließlich Social-Engineering-Angriffen gegen den Kundendienst, der Verwendung geleakter 2FA-Zertifikate (Two-Factor Authentication) oder dem direkten Einbruch in das Domain-Verwaltungskonto. In den letzten Monaten haben mehrere DeFi-Protokolle nacheinander ähnliche Frontend-DNS-Angriffe erlitten.
Das Cow Protocol selbst ist ein nicht-kustodiales Protokoll und hält keine Nutzergelder. Das Risiko beschränkt sich daher nur auf Nutzer, die auf dem beeinträchtigten Frontend aktiv Transaktionen unterschrieben haben. Die Community hat vereinzelte verdächtige Transaktionen gemeldet, aber bis jetzt wurde noch nicht bestätigt, dass es systematisches Abziehen von Geldern gibt, das das gesamte Protokoll betrifft.
Sofortliste der Maßnahmen für betroffene Nutzer
Wenn Sie nach UTC 14:54 swap.cow.fi oder cow.fi aufgerufen haben und eine Wallet verbunden oder irgendeine Transaktion signiert haben, sollten Sie sofort die folgenden Schritte ausführen:
Leitfaden für dringende Maßnahmen
Gehen Sie zu revoke.cash:Widerrufen Sie sofort alle relevanten Contract-Berechtigungen, die nach den oben genannten Zeitpunkten erteilt wurden
Wallet-Transaktionsverlauf prüfen:Bestätigen Sie, ob es irgendwelche nicht autorisierten Überweisungen oder ungewöhnliche Berechtigungsoperationen gab
Zugehörige Domains nicht mehr aufrufen:Bevor der Cow DAO offiziell bestätigt hat, dass die „Website sicher verfügbar“ ist, vermeiden Sie den Besuch von swap.cow.fi und cow.fi
Transaktions-Hash einreichen:Wenn Sie eine verdächtige Transaktion feststellen, reichen Sie den Hash-Wert gemäß den Anweisungen des Cow DAO zur sicheren Überprüfung ein
Häufige Fragen
Wie kam es zum DNS-Hijacking beim Cow Protocol?
Der Angreifer hat die DNS-Einträge von swap.cow.fi manipuliert, wodurch der legitime Nutzerverkehr auf eine gefälschte Website umgeleitet wurde, die ein Wallet-Leerungsprogramm bereitstellt. Solche Angriffe werden üblicherweise durch Social Engineering gegen den Kundendienst des Domain-Dienstanbieters umgesetzt oder indem geleakte 2FA-Zertifikate des Domain-Verwaltungskontos verwendet werden; es handelt sich nicht um Schwachstellen auf der Smart-Contract-Ebene des Protokolls.
Hat der Angriff dieses Mal die Smart Contracts des Cow Protocols betroffen?
Nein. Der Cow DAO hat eindeutig bestätigt, dass die Smart Contracts und die On-Chain-Infrastruktur in diesem Vorfall vollständig nicht betroffen waren. Das Protokoll-Backend und die API wurden ebenfalls nicht kompromittiert; die Dienstpause ist eine rein präventive Maßnahme, die darauf abzielt, zu verhindern, dass weitere Nutzer während der Untersuchung auf das beeinträchtigte Frontend zugreifen.
Wie kann ich feststellen, ob ich betroffen bin?
Wenn Sie nach UTC 14:54 swap.cow.fi oder cow.fi aufgerufen und eine Wallet verbunden haben oder irgendeine Transaktion signiert haben, besteht ein potenzielles Risiko. Gehen Sie sofort zu revoke.cash, um die Berechtigungen zu widerrufen, und prüfen Sie sorgfältig die jüngsten Transaktionsaufzeichnungen Ihrer Wallet. Achten Sie weiterhin auf die offiziellen X-Konten des Cow DAO und warten Sie auf die offizielle Benachrichtigung, dass der Dienst sicher wiederhergestellt wurde.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Litecoin durchläuft tiefe Ketten-Reorg, um MWEB-Privacy-Layer-Exploit rückgängig zu machen
Gate-News-Nachricht, 26. April — Litecoin erlebte am Samstag eine tiefgreifende Ketten-Reorganisation (reorg), nachdem Angreifer eine Zero-Day-Sicherheitslücke in der (MWEB)-Privacy-Layer der MimbleWimble Extension Block ausgenutzt hatten, laut
GateNews1Std her
Apecoin-Insider macht aus $174K in nur einem Tag 2,45 Mio. $ mit 14x Trades auf beiden Seiten eines 80%-Anstiegs
Eine anonyme Wallet ohne vorherige Handelshistorie verwandelte Ether im Wert von $174.000 in $2,45 Millionen, indem sie Apecoin sowohl auf der Kauf- als auch auf der Verkaufsseite gehandelt hat – nach einem 80%igen Preissprung an einem einzigen Tag.
Wichtige Erkenntnisse:
Wallet 0x0b8a konvertierte $174.000 in ETH in einen gehebelten Apecoin-Long und stieg nahe an der Spitze aus für einen Gewinn von $1,79M
Coinpedia1Std her
Hongkonger Polizei zerschlägt grenzüberschreitende Betrugsbande, die ausländische Studierende ins Visier nahm, und beschlagnahmt HK$5M in Vermögenswerten
Gate News-Meldung, 26. April — Laut lokalen Medien haben Hongkonger Polizei eine grenzüberschreitende Betrugsbande zerschlagen, die ausländische chinesische Studierende ins Visier genommen hatte, die im Ausland studieren. Die Tätergruppe gab sich als Strafverfolgungsbehörden aus und zwang die Opfer, nach Hongkong zu reisen, um Goldbarren als "c
GateNews2Std her
Litecoin-Reorg macht Ausnutzung der MWEB-Privacy-Layer rückgängig
Litecoin durchlief am Samstag eine tiefgreifende Kettenneugestaltung, nachdem Angreifer eine Zero-Day-Schwachstelle in seiner MimbleWimble Extension Block (MWEB)-Privacy-Layer ausgenutzt hatten, so die Litecoin Foundation. Der Vorfall führte zu einer dreistündigen Reorg, die ungültige Transaktionen aus dem
CryptoFrontier7Std her
Nordkoreanische IT-Arbeiter Laptop-Farm-Betrug: US-Komplize zu 7–9 Jahren verurteilt, in zwei Jahren insgesamt 2,8 Milliarden US-Dollar eingestrichen
Fortune berichtet, dass Nordkorea über Laptop-Farmen innerhalb der USA über einen Zeitraum von zwei Jahren insgesamt etwa 2,8 Milliarden USD an Einnahmen zur Unterstützung von Nuklearwaffen erzielt hat; jährlicher Tribut 2,5–6 Milliarden USD. Der US-Bürger Kejia Wang und Zhenxing Wang wurden jeweils zu 7,5 Jahren bzw. 9 Jahren verurteilt; es geht um mehr als 100 Unternehmen und 80 Fälle von Identitätsdiebstahl. Nordkorea betreibt in den USA über US-Identitäten und feste Geräte; die Gelder werden überwiegend über Kryptowährungen in andere Währungen umgetauscht. Experten warnen, dass das Netzwerk von Mittätern im Inland weiterhin besteht; Unternehmen müssen die Identitätsprüfung, die Adressverfolgung und die Analyse von Zeitzonen/IPs verstärken.
ChainNewsAbmedia11Std her
Polizei in Hongkong warnt vor Zunahme von Krypto-Betrugsmaschen; Zwei Frauen verlieren $1,24 Mio. in den vergangenen Wochen
Gate News-Meldung, 25. April — Zwei Frauen aus Hongkong verloren in den vergangenen Wochen zusammen HK$9,7 Millionen (US$1,24 Millionen) an Krypto-Betrüger, woraufhin die örtliche Polizei eine öffentliche Warnung herausgab. Die Polizei in Hongkong meldete mehr als 80 Betrugsfälle innerhalb einer einzigen Woche, wobei die Gesamtschäden HK$80 Million (U
GateNews11Std her
