CoW DAO keurt compensatie goed voor slachtoffers van cow.fi-kaping, claims vóór 14 mei

CoW DAO heeft CIP‑86 goedgekeurd om discretionaire subsidies van maximaal 100% aan te bieden aan slachtoffers van de cow.fi-domeinkaping van april, met gedetailleerde claims die uiterlijk 14 mei ingediend moeten worden en uitbetalingen die tegen 31 mei worden verwacht.

CoW DAO heeft formeel een gebruikerscompensatieplan goedgekeurd voor slachtoffers van de cow.fi-domeinkaping van april en vraagt getroffen gebruikers nu om vóór 14 mei claims in te dienen. Het besluit volgt op een gemeenschapsstemming over governancevoorstel CIP‑86, dat een discretionair subsidieprogramma instelt om verliezen tot 100% te vergoeden voor gebruikers die werden gephisht terwijl de domeinregistrar van het project onder controle van aanvallers was.

Social engineering op de registrarlaag

Volgens het CIP‑86-voorstel en de post-mortem van de DAO vond het incident plaats op 14 april 2026, toen CoW Swap's .fi-domeinregistrar, Gandi SAS, werd gecompromitteerd in een social engineering-aanval. Aanvallers maakten gebruik van de controle van de registrar over DNS-records die worden gebruikt door CoW Swap's AWS Route 53-servers, waarbij ze het cow.fi-domein gedurende ongeveer 4,5 uur overnamen en gebruikers doorstuurden naar een phishingwebsite die de echte interface nabootste.

Gedurende dat tijdvenster kregen gebruikers die het gekaapte domein bezochten een nep-handels-UI te zien en werden ze verleid tot het ondertekenen van kwaadaardige transacties, waardoor tokens uit hun portemonnees werden weggesluisd. CoW DAO heeft herhaaldelijk benadrukt dat de smart contracts en backend-infrastructuur van CoW Protocol nooit zijn geschonden, en dat de kwetsbaarheid "volledig op de domeinregistrarlaag lag en niet in de protocolcode." Een KuCoin-incidentrapport schatte de gebruikersverliezen op ongeveer $1,2 miljoen aan USDC en andere activa, een cijfer dat door meerdere vervolganalyses wordt bevestigd.

CIP‑86: discretionaire subsidies en strikte criteria

Om deze verliezen aan te pakken, heeft de gemeenschap van CoW DAO CIP‑86 goedgekeurd, dat een eenmalig discretionair subsidieprogramma instelt dat wordt gefinancierd vanuit de Legal Defense Reserve van de DAO. Onder het plan kunnen in aanmerking komende slachtoffers tot 100% compensatie ontvangen voor geverifieerde verliezen, maar de DAO benadrukt dat betalingen vrijwillige "goodwill"-subsidies zijn en geen erkenning van juridische aansprakelijkheid vormen. Het voorstel geeft het kernteam ook een mandaat om indien nodig juridische stappen te ondernemen tegen derden, inclusief entiteiten die betrokken zijn bij de supply chain-aanval op de registrar.

CIP‑86 legt strikte criteria vast voor hulpsubsidies. Indieners moeten tijdens het kapingsvenster interactie hebben gehad met het kwaadaardige contract, een geschiedenis van het gebruik van CoW Swap vóór de aanval aantonen, en voldoende on‑chain bewijs leveren om hun verliezen te koppelen aan het phishingincident in plaats van aan niet-gerelateerde oplichting. Een samenvatting gehost door Binance stelt dat claims worden verwerkt als "discretionaire subsidies" in plaats van automatische vergoedingen, waarbij het verificatieproces ingediende gegevens vergelijkt met on‑chain records voordat een uitbetaling wordt goedgekeurd.

Claimproces en deadline van 14 mei

CoW DAO en zijn ecosysteemkanalen dringen er nu bij getroffen gebruikers op aan om vóór de deadline van 14 mei claims in te dienen. Om in aanmerking te komen, moeten gebruikers een e-mail sturen naar [email protected] met als onderwerpregel "Discretionary Grant Claim for CoW.Fi Domain Hijack Incident," inclusief het getroffen portemonnee-adres, een lijst van weggesluisde activa en bedragen, relevante transactiehashes en de naam van de indiener. Zodra ondersteuningsmedewerkers het verzoek koppelen aan on‑chain gegevens, ontvangen gebruikers een vervolgmail met eventuele aanvullende stappen, die KYC-controles kunnen omvatten voordat fondsen worden vrijgegeven.

De CIP‑86-tijdlijn voorziet dat alle geldige claims uiterlijk 14 mei worden ingediend, in de daaropvolgende weken worden beoordeeld en uiterlijk 31 mei worden vergoed, afhankelijk van de DAO-treasury en verificatieresultaten. Voor CoW DAO is het incident een casestudy geworden in hoe DeFi-protocollen kunnen reageren op off‑chain supply chain-aanvallen: door domeinbeveiliging te behandelen als kritieke infrastructuur, protocolintegriteit te scheiden van web-laag-exploits, en governance te gebruiken om vrijwillige, tijdgebonden compensatie te autoriseren zonder de geschiedenis on-chain te herschrijven.