Το CoW DAO εγκρίνει αποζημίωση για τα θύματα της παραβίασης του cow.fi, αιτήσεις έως τις 14 Μαΐου

Το CoW DAO ενέκρινε το CIP‑86 για να προσφέρει διακριτικές επιχορηγήσεις έως 100% στα θύματα της απαγωγής του domain cow.fi τον Απρίλιο, με λεπτομερείς αιτήσεις έως τις 14 Μαΐου και πληρωμές που στοχεύουν έως τις 31 Μαΐου.

Το CoW DAO ενέκρινε επίσημα ένα σχέδιο αποζημίωσης χρηστών για τα θύματα της απαγωγής του domain cow.fi τον Απρίλιο και ζητά τώρα από τους επηρεαζόμενους χρήστες να υποβάλουν αιτήσεις έως τις 14 Μαΐου. Η απόφαση ακολουθεί κοινοτική ψηφοφορία για την πρόταση διακυβέρνησης CIP‑86, η οποία δημιουργεί ένα πρόγραμμα διακριτικών επιχορηγήσεων για την αποζημίωση ζημιών έως 100% για χρήστες που έπεσαν θύματα phishing ενώ ο καταχωρητής domain του έργου βρισκόταν υπό τον έλεγχο εισβολέα.

Κοινωνική μηχανική στο επίπεδο του καταχωρητή

Σύμφωνα με την πρόταση CIP‑86 και το post‑mortem του DAO, το περιστατικό σημειώθηκε στις 14 Απριλίου 2026, όταν ο καταχωρητής domain .fi του CoW Swap, Gandi SAS, παραβιάστηκε σε επίθεση κοινωνικής μηχανικής. Οι εισβολείς εκμεταλλεύτηκαν τους ελέγχους του καταχωρητή επί των εγγραφών DNS που χρησιμοποιούνται από τους διακομιστές AWS Route 53 του CoW Swap, αναλαμβάνοντας προσωρινά τον έλεγχο του domain cow.fi για περίπου 4,5 ώρες και ανακατευθύνοντας τους χρήστες σε έναν ιστότοπο phishing που μιμούνταν την πραγματική διεπαφή.

Κατά τη διάρκεια αυτού του παραθύρου, οι χρήστες που επισκέφθηκαν το παραβιασμένο domain αντιμετώπισαν ένα ψεύτικο UI συναλλαγών και εξαπατήθηκαν ώστε να υπογράψουν κακόβουλες συναλλαγές, οι οποίες αφαίρεσαν tokens από τα πορτοφόλια τους. Το CoW DAO έχει επανειλημμένως τονίσει ότι τα smart contracts και η υποδομή backend του CoW Protocol δεν παραβιάστηκαν ποτέ, και ότι η ευπάθεια ήταν «αποκλειστικά στο επίπεδο του καταχωρητή domain και όχι στον κώδικα του πρωτοκόλλου». Μια έκθεση περιστατικού του KuCoin εκτίμησε τις απώλειες χρηστών σε περίπου 1,2 εκατομμύριο δολάρια σε USDC και άλλα περιουσιακά στοιχεία, ένα νούμερο που επαναλήφθηκε από πολλαπλές μεταγενέστερες αναλύσεις.

CIP‑86: διακριτικές επιχορηγήσεις και αυστηρά κριτήρια

Για να αντιμετωπιστούν αυτές οι απώλειες, η κοινότητα του CoW DAO ενέκρινε το CIP‑86, το οποίο δημιουργεί ένα εφάπαξ πρόγραμμα διακριτικών επιχορηγήσεων που χρηματοδοτείται από το Αποθεματικό Νομικής Υπεράσπισης του DAO. Βάσει του σχεδίου, τα επιλέξιμα θύματα μπορούν να λάβουν έως 100% αποζημίωση για επαληθευμένες απώλειες, αλλά το DAO τονίζει ότι οι πληρωμές είναι εθελοντικές επιχορηγήσεις «καλής θέλησης» και δεν συνιστούν παραδοχή νομικής ευθύνης. Η πρόταση δίνει επίσης στην βασική ομάδα εντολή να κινήσει νομικές διαδικασίες κατά τρίτων όπου κρίνεται απαραίτητο, συμπεριλαμβανομένων οντοτήτων που εμπλέκονται στην επίθεση αλυσίδας εφοδιασμού του καταχωρητή.

Το CIP‑86 θέτει αυστηρά κριτήρια για τις επιχορηγήσεις ανακούφισης. Οι αιτούντες πρέπει να έχουν αλληλεπιδράσει με το κακόβουλο contract κατά τη διάρκεια του παραθύρου απαγωγής, να αποδείξουν ιστορικό χρήσης του CoW Swap πριν από την επίθεση και να παρέχουν επαρκή on‑chain αποδεικτικά στοιχεία που συνδέουν τις απώλειές τους με το περιστατικό phishing και όχι με άσχετες απάτες. Μια περίληψη που φιλοξενείται στο Binance σημειώνει ότι οι αιτήσεις θα επεξεργαστούν ως «διακριτικές επιχορηγήσεις» και όχι ως αυτόματες αποζημιώσεις, με τη διαδικασία επαλήθευσης να συγκρίνει τα υποβληθέντα δεδομένα με τα on‑chain αρχεία πριν εγκριθεί οποιαδήποτε πληρωμή.

Διαδικασία αίτησης και προθεσμία 14 Μαΐου

Το CoW DAO και τα κανάλια του οικοσυστήματός του καλούν τώρα τους επηρεαζόμενους χρήστες να υποβάλουν αιτήσεις πριν από την καταληκτική ημερομηνία της 14ης Μαΐου. Για να πληρούν τις προϋποθέσεις, οι χρήστες πρέπει να στείλουν email στο [email protected] με θέμα "Discretionary Grant Claim for CoW.Fi Domain Hijack Incident," συμπεριλαμβάνοντας τη διεύθυνση του επηρεαζόμενου πορτοφολιού, κατάλογο περιουσιακών στοιχείων και ποσών που αφαιρέθηκαν, σχετικά transaction hashes και το όνομα του αιτούντα. Μόλις το προσωπικό υποστήριξης αντιστοιχίσει το αίτημα με τα on‑chain δεδομένα, οι χρήστες θα λάβουν ένα email παρακολούθησης που περιγράφει τυχόν πρόσθετα βήματα, τα οποία ενδέχεται να περιλαμβάνουν ελέγχους KYC πριν από την αποδέσμευση των κεφαλαίων.

Το χρονοδιάγραμμα του CIP‑86 προβλέπει ότι όλες οι έγκυρες αιτήσεις θα υποβληθούν έως τις 14 Μαΐου, θα εξεταστούν κατά τις επόμενες εβδομάδες και θα αποζημιωθούν έως τις 31 Μαΐου, με την επιφύλαξη των αποτελεσμάτων του ταμείου και της επαλήθευσης του DAO. Για το CoW DAO, το επεισόδιο έχει γίνει μελέτη περίπτωσης για το πώς τα πρωτόκολλα DeFi μπορούν να ανταποκριθούν σε επιθέσεις αλυσίδας εφοδιασμού εκτός αλυσίδας: αντιμετωπίζοντας την ασφάλεια επιπέδου domain ως κρίσιμη υποδομή, διαχωρίζοντας την ακεραιότητα του πρωτοκόλλου από εκμεταλλεύσεις επιπέδου web και χρησιμοποιώντας τη διακυβέρνηση για την εξουσιοδότηση εθελοντικής, χρονικά οριοθετημένης αποζημίωσης χωρίς επανεγγραφή ιστορικού on-chain.