CoW Swap зазнав атаки з перехопленням DNS! Орієнтовні збитки користувачів — мільйони доларів, офіційно: не використовуйте веб-інтерфейс на стороні клієнта

Децентралізований агрегатор торгів CoW Swap вчора (14.04) зазнав атаки DNS-хакінгу, хакери підмінили систему доменних імен, перенаправивши користувачів на підроблені зловмисні сторінки для крадіжки дозволів гаманця.

Передній інтерфейс раптово зазнав DNS-хакінгу, Blockaid першими попередив спільноту

Децентралізований агрегатор торгів CoW Swap 14 квітня зазнав серйозної кіберінциденту, його офіційний сайт через DNS-хакінг вийшов з ладу. За даними звіту компанії з безпеки блокчейнів Blockaid, атака почалася приблизно о 14:54 за UTC. Зловмисники шляхом підміни DNS-записів перенаправили користувачів, які заходили на офіційний сайт swap.cow.fi, на підроблену зловмисну сторінку.

Ця підроблена сторінка дуже нагадує справжній інтерфейс, її головна мета — спонукати користувачів підключити гаманець і підписати зловмисний дозвіл, щоб викрасти активи. Blockaid одразу опублікував термінове попередження у соцмережі X, вказавши, що cow.fi позначено як зловмисний сайт, і настійно рекомендував усім користувачам припинити будь-яку взаємодію з цим додатком.

Джерело: X/@blockaid_ Blockaid у соцмережі X опублікував термінове попередження, що cow.fi позначено як зловмисний сайт

У відповідь на раптову кіберзагрозу команда CoW Swap та її децентралізована автономна організація (DAO) швидко відреагували. Команда підтвердила, що фронтенд дійсно має вразливості безпеки, і закликала користувачів утриматися від використання платформи до офіційного підтвердження її безпеки. Атака цілеспрямовано вразила саме фронтенд, тоді як основний протокол, бекенд та API залишилися цілі. Щоб захистити залишкові активи користувачів і запобігти поширенню наслідків, команда тимчасово припинила роботу бекенд-сервісів та API.

Джерело: X/@CoWSwap CoW DAO підтвердив, що фронтенд дійсно має вразливості безпеки, і закликає користувачів утриматися від використання платформи до офіційного підтвердження безпеки

Зараз технічна команда активно працює над відновленням контролю над ураженими доменами. Розробники закликають користувачів слідкувати за офіційними каналами і, до офіційного оголошення про завершення безпеки, бути максимально обережними щодо цього сайту.

Масштаб втрат оцінюється у сотні тисяч доларів, COW токен падає

З поширенням інциденту з’являються перші дані про збитки. Фахівці з кібербезпеки Vladimir S. та кілька аналітичних джерел на блокчейні повідомляють, що за кілька годин після атаки кілька адрес були обкрадені. Загальні втрати оцінюються приблизно у 500 тисяч — 1 мільйон доларів. Серед постраждалих найбільше постраждав один трейдер: його гаманець з 219 ETH був зламаний і кошти переведені зловмисниками.

Команда CoW Swap заявила, що лише кілька користувачів підписали зловмисний дозвіл, і частина випадків мала невеликі суми. Однак у офіційному Discord вже багато користувачів скаржаться на втрати, деякі повідомляють про втрату понад 50 тисяч доларів, з гіркотою констатуючи, що їхні активи зникли за одну ніч.

Через кіберзагрозу ціна рідного токена CoW Protocol $COW також зазнала тиску на продаж. За даними торгів, після новин ціна COW знизилася більш ніж на 3 %, з 0.2229 до приблизно 0.2159. Різкі коливання настроїв на ринку відображають занепокоєння інвесторів щодо здатності протоколу захищати фронтенд.

Хоча CoW Swap відомий у DeFi за своїм потужним маршрутизатором торгів і захистом від атак максимального вилучення (MEV), ця вразливість у сфері DNS безпеки тимчасово підірвала довіру до бренду. Інвестори уважно стежать за подальшими діями команди і процесом відновлення контролю над доменом. Ця подія змусила спільноту переосмислити, наскільки безпечними є входи у децентралізований світ, що сильно залежить від Web2-інфраструктури.

Мережеві фішингові атаки зростають, збитки хакерів у Q1 вже майже до 5 мільярдів

Загроза DNS-хакінгу відображає загальну проблему безпеки у Web3-індустрії. За даними останнього звіту компанії Hacken, лише у першому кварталі 2026 року збитки від хакерських атак і шахрайств у Web3 склали 4.82 мільярда доларів. У 44 зафіксованих інцидентах переважали фішинг і соціальна інженерія.

DNS-хакінг через свою високу прихованість є улюбленим інструментом хакерів. Користувачі бачать у браузері правильний сайт, тому легко підписують транзакції. Такий тип атаки спрямований на поведінку користувачів і не залежить від безпеки коду. Зловмисники використовують цю слабкість психологічної захищеності, щоб перенаправити трафік на зловмисні сервери.

За останні роки кілька відомих DeFi-протоколів зазнали DNS-атак. Balancer у 2023 році вже зазнавав DNS-атаки, а Curve Finance неодноразово став ціллю DNS-хакінгу.

Експерти з безпеки наголошують, що користувачі мають регулярно перевіряти дозволи у своїх криптогаманцях.

Щодо цього інциденту з CoW Swap, офіційні та сторонні служби безпеки радять: усім користувачам, які взаємодіяли з платформою після початку атаки, слід негайно використати інструменти на кшталт Revoke.cash для відкликання дозволів. Відкликання дозволів захищає майбутні активи, але не поверне вже вкрадені. Для користувачів важливо заходити на сайти через закладки і регулярно оновлювати софт. Спільнота має нагадувати один одному не підписувати запити на підтвердження гаманця без належної перевірки.

Зіркові протоколи теж під ударом, команда терміново призупинила бекенд

З моменту запуску CoW Swap був одним із провідних проектів у DeFi. Засновник Ethereum Віталік Бутерін — його активний користувач, він багаторазово здійснював великі транзакції через цю платформу. Він обмінював 3,100 ETH на стабільні монети на суму понад 6.1 мільйон доларів і використовував її для різних дрібних операцій. Завдяки механізму пакетних аукціонів і конкуренційним пошукачам, протокол забезпечує вигідні ціни і захищає від атак MEV.

Однак ця атака на фронтенд знову показала, що незалежно від міцності ядра протоколу, управління доменами залишається слабким місцем інфраструктури. Такі атаки цілеспрямовано вражають саме пристрої та транзакції, безпосередньо через зовнішні перехоплення.

Зараз команда працює над відновленням. Офіційно обіцяють опублікувати повний звіт і план компенсацій. Цей інцидент викликав глибоку дискусію щодо відповідальності DeFi-платформ за безпеку. У прагненні до децентралізації та ефективності посилення захисту Web2-інфраструктури стає пріоритетом для всіх DAO.

Розробники мають розглянути впровадження більш безпечних технологій, наприклад, використання мульти-підписів для управління доменами або застосування децентралізованих сервісів доменних імен. Поки офіційно не буде оприлюднено підтвердження безпеки, користувачам слід уникати цього сайту і шукати альтернативні інструменти для торгів. Основна умова збереження активів — постійна пильність і увага до будь-яких аномалій. Це важливий урок для галузі щодо меж безпеки і передвісник того, що майбутні заходи з кіберзахисту стануть багаторівневими.