Cow Protocol 遭 DNS 劫持,用户需立即撤销授权
基于 Cow Protocol 构建的 DEX 聚合平台 Cow Swap 于 4 月 14 日确认其主前端 swap.cow.fi 遭到 DNS 劫持,攻击者通过篡改域名记录将用户流量重定向至仿冒网站,并部署钱包清空程序。Cow DAO 随即暂停协议 API 与后端服务,用户须立即撤销相关授权。
事件完整时间轴
UTC 14:54:swap.cow.fi 的 DNS 记录遭到篡改,攻击者开始将流量导向仿冒交易界面
UTC 15:41:Cow DAO 在 X 平台发布公开警告,建议用户在调查期间完全停止与网站互动
UTC 16:24:官方确认 DNS 劫持,明确指出协议后端和 API 本身未遭入侵,服务暂停属预防性措施
UTC 16:33:Cow DAO 发布具体指引,要求 UTC 14:54 后与受损前端互动的用户立即撤销授权
UTC 18:15:团队持续监控,要求可疑交易用户提交交易哈希值以供审查
截至报道时,协议仍处于暂停状态,Cow DAO 尚未宣布完全恢复服务,亦未发布完整的事后分析报告。
DNS 劫持的攻击机制:为何 DeFi 前端仍是高风险入口
DNS 劫持不需要入侵智能合约代码,而是针对域名基础设施层面发起攻击。攻击者通过篡改目标域名的 DNS 记录,将流量重定向至仿冒服务器,再在仿冒界面中部署钱包清空程序(Wallet Drainer)。一旦用户在仿冒界面连接钱包或签署授权,恶意程序即触发自动转账。
此类攻击的技术入口通常不在协议代码之中,而在域名服务商管理层面——包括对客服人员进行社会工程攻击、利用外泄的双因素认证(2FA)凭证,或直接入侵域名管理账户。近几个月,多个 DeFi 协议已先后遭遇类似的前端 DNS 攻击。
Cow Protocol 本身属非托管协议,不持有任何用户资金,此次风险仅限于在受损前端主动签署交易的用户。社群报告了零星的可疑交易,但截至目前尚未确认存在影响整个协议的系统性资金抽取。
受影响用户的即时报行动清单
如果您在 UTC 14:54 之后访问了 swap.cow.fi 或 cow.fi,并连接钱包或签署任何交易,应立即采取以下步骤:
紧急行动指引
前往 revoke.cash:立即撤销在上述时间点之后授予的所有相关合约授权
核查钱包交易记录:确认是否有任何未经授权的转账或不寻常的授权操作
停止访问相关域名:在 Cow DAO 正式确认「网站安全可用」前,避免访问 swap.cow.fi 及 cow.fi
提交交易哈希:若发现可疑交易,按 Cow DAO 指引提交哈希值以供安全审查
常见问题
Cow Protocol 的 DNS 劫持是如何发生的?
攻击者通过篡改 swap.cow.fi 的 DNS 记录,将合法用户流量重定向至部署了钱包清空程序的仿冒网站。这类攻击通常通过对域名服务商客服进行社会工程攻击,或利用外泄的域名管理账户 2FA 凭证实施,不涉及协议智能合约层面的漏洞。
此次攻击是否影响了 Cow Protocol 的智能合约?
没有。Cow DAO 明确确认,智能合约和链上基础设施在此次事件中完全未受影响。协议后端及 API 同样未遭入侵,服务暂停属纯粹的预防性措施,旨在防止更多用户在调查期间访问受损前端。
如何判断自己是否受到影响?
若您在 UTC 14:54 之后访问了 swap.cow.fi 或 cow.fi 并连接钱包,或签署了任何交易,则存在潜在风险。应立即前往 revoke.cash 撤销授权,并仔细核查钱包的近期交易记录。持续关注 Cow DAO 的官方 X 帐号,等待服务安全恢复的正式通知。
相关文章