CoW Swap收回cow.fi域名控制权,披露4月14日DNS劫持攻击细节
CoW Swap于4月16日宣布已重新掌控cow.fi域名,此前攻击者于4月14日通过伪造文件欺骗DNS注册商实施劫持,并部署钓鱼网站分两阶段窃取用户资产。官方建议受影响用户立即撤销授权并考虑迁移钱包。
CoW Swap于4月16日发布公告,确认已收回cow.fi域名的控制权。据官方披露,攻击发生于4月14日,攻击者通过向DNS注册商提交伪造文件的方式,成功夺取了cow.fi域名的管理权限。
在域名被劫持期间,攻击者搭建了高度仿真的钓鱼网站,并分两个阶段对用户实施攻击:第一阶段通过内置钱包窃取器,诱导用户签署恶意交易;第二阶段则通过伪装成钱包弹窗的界面,尝试窃取用户的助记词与密码。
官方强调,此次事件的攻击入口为域名注册商环节,CoW Swap自身的底层基础设施及私钥均未受到波及。域名被占用期间,CoW Swap服务通过备用域名cow.finance持续正常运行,目前正逐步将访问入口迁回cow.fi。
对于可能受到影响的用户,官方建议使用Revoke.cash等工具撤销全部链上授权,并酌情将资产转移至全新钱包地址。受影响用户数量、资金损失规模及攻击者身份目前均未披露。
解读
此次事件属于典型的DNS劫持攻击,攻击面在于域名注册商的身份核验机制,而非协议本身的智能合约或密钥安全。这类攻击对用户而言具有较强迷惑性,因为页面外观与正版高度一致。值得关注的是,攻击者采用了两阶段递进式手法,既针对链上授权,也尝试获取链下凭证(助记词),攻击目标覆盖面较广。对于DeFi用户而言,即便协议本身安全,域名层面的风险同样需要纳入防范范围,定期检查并撤销不必要的链上授权是降低此类风险的有效手段。