Ein Sicherheitsvorfall bei CoW Swap führte nach einer koordinierten Übernahme der Domain am 14. April zu Verlusten in Höhe von 1,2 Millionen US‑Dollar für die dezentrale Börse.
Summary
Schwäche der Domain löste den Angriff aus
Die Sicherheitsverletzung betraf nicht das Kernprotokoll der Plattform. Angreifer nutzten jedoch das Domainverwaltungssystem aus und leiteten Nutzer auf eine bösartige Website um, die der offiziellen Oberfläche stark ähnelte.
Das Team erklärte, dass Social Engineering den Angreifern half, kurzzeitig die Kontrolle über die cow.fi‑Domain zu erlangen. Dadurch konnten sie Besucher auf eine gefälschte Seite lenken und Wallet‑Interaktionen abfangen.
Nutzer, die auf die gefälschte Seite gelangten, wurden aufgefordert, Wallets zu verbinden und Transaktionen zu genehmigen. In der Praxis verwandelte dies den Vorfall in einen Wallet‑Genehmigungsbetrug, der zu Verlusten führte, obwohl das Protokoll sicher blieb.
Schnelle Reaktion begrenzte den Schaden
CoW Swap erkannte das Problem innerhalb von Minuten und schloss die Notfallreaktion in etwa 19 Minuten ab. Außerdem verlagerte das Team die Aktivitäten vorübergehend auf eine neue Domain, während die kompromittierte repariert wurde.
Der Angriff wurde mit einem Problem in der Lieferkette in Verbindung gebracht, das Domain‑Hijacking umfasst. Dennoch erklärte das Team, dass seine Kernsysteme, Smart Contracts und Nutzervermögen niemals direkt gehackt wurden.
Innerhalb von rund 26 Stunden kehrte die ursprüngliche Domain mit stärkeren Schutzmechanismen zurück, darunter erweiterte Sicherheits‑Locks. Das Team leitete außerdem externe Audits ein, begann rechtliche Schritte und prüft Entschädigungen für Nutzer.
Reaktion der Branche und nächste Schritte
Der Vorfall folgte auf den Hack des Drift‑Protokolls, der Berichten zufolge Verluste von etwa 220–270 Millionen US‑Dollar verursachte. Zudem erklärte Aave, dass das Ereignis weder sein System noch sein Protokoll beeinträchtigte, obwohl der Zugang zu Endpunkten, die mit der CoW‑Swap‑Integration verbunden sind, aus Sicherheitsgründen ausgesetzt wurde.
Ein Post‑Mortem‑Bericht erklärte, dass die Plattform nun sicher zu verwenden ist. In der Stellungnahme hieß es: Aktueller Status: swap.cow.fi ist voll funktionsfähig und sicher zu verwenden. Es wurde hinzugefügt, dass die Domain wiederhergestellt, in das AWS‑Konto mit einem Registry‑Lock zurückgeführt und wieder in den Normalbetrieb überführt wurde.
Der Bericht stellte jedoch auch fest, dass der Vorfall einem dokumentierten Muster von .fi‑Domain‑Hijacks entspricht, die auf Krypto‑Projekte abzielen. Vorerst erklärt CoW Swap, dass Nutzer mit Vertrauen auf die Plattform zugreifen können.
