CoW DAO genehmigt Governance-Vorschlag CIP-86
CoW DAO hat den Governance-Vorschlag CIP-86 genehmigt, um diskretionäre Zuschüsse von bis zu 100 % für die Opfer des Hijackings der cow.fi-Domain im April anzubieten. Betroffene Nutzer sind aufgefordert, ihre Ansprüche bis zum 14. Mai einzureichen, wobei die Auszahlungen bis zum 31. Mai angestrebt werden.
Der Vorfall
Der Vorfall ereignete sich am 14. April 2026, als der .fi-Domain-Registrar von CoW Swap, Gandi SAS, in einem Social-Engineering-Angriff kompromittiert wurde. Angreifer übernahmen die Kontrolle über die DNS-Einträge, die von den AWS Route 53-Servern von CoW Swap verwendet wurden, und übernahmen die cow.fi-Domain für etwa 4,5 Stunden. Während dieser Zeit wurden Nutzer auf eine Phishing-Website umgeleitet, die die echte Benutzeroberfläche nachahmte. Nutzer, die die gehackte Domain besuchten, wurden mit einer gefälschten Handelsoberfläche konfrontiert und in die Unterzeichnung bösartiger Transaktionen verwickelt, die Token aus ihren Wallets abfließen ließen.
Reaktion von CoW DAO
CoW DAO hat betont, dass die Smart Contracts und die Backend-Infrastruktur des CoW Protocols niemals verletzt wurden und dass die Schwachstelle ausschließlich auf der Ebene des Domain-Registrars lag. Ein Vorfallbericht von KuCoin schätzte die Verluste der Nutzer auf etwa 1,2 Millionen USDC und andere Vermögenswerte, eine Zahl, die von mehreren nachfolgenden Analysen bestätigt wurde. Um diese Verluste zu adressieren, genehmigte die Gemeinschaft von CoW DAO CIP-86, das ein einmaliges Programm für diskretionäre Zuschüsse einrichtet, das aus der Rechtsverteidigungsreserve der DAO finanziert wird.
Details zu den Zuschüssen
Im Rahmen des Plans können berechtigte Opfer bis zu 100 % Entschädigung für verifizierte Verluste erhalten. Die DAO betont jedoch, dass diese Zahlungen als freiwillige „Wohlwollen“-Zuschüsse betrachtet werden und keine Anerkennung rechtlicher Haftung darstellen. Der Vorschlag gibt dem Kernteam auch das Mandat, rechtliche Schritte gegen Dritte zu unternehmen, wo dies notwendig ist, einschließlich von Entitäten, die an dem Angriff auf die Lieferkette des Registrars beteiligt waren.
Anspruchsverfahren
CIP-86 legt strenge Kriterien für die Entschädigungszuschüsse fest. Antragsteller müssen während des Hijacking-Zeitraums mit dem bösartigen Vertrag interagiert haben, eine Historie der Nutzung von CoW Swap vor dem Angriff nachweisen und ausreichende On-Chain-Beweise vorlegen, um ihre Verluste mit dem Phishing-Vorfall zu verknüpfen. Eine von Binance gehostete Zusammenfassung weist darauf hin, dass Ansprüche als „diskretionäre Zuschüsse“ und nicht als automatische Rückerstattungen bearbeitet werden. Der Verifizierungsprozess vergleicht die eingereichten Daten mit On-Chain-Daten, bevor eine Auszahlung genehmigt wird.
Fristen und Anforderungen
CoW DAO und seine Ökosystemkanäle fordern nun betroffene Nutzer auf, ihre Ansprüche vor dem Stichtag am 14. Mai einzureichen. Um sich zu qualifizieren, müssen Nutzer eine E-Mail mit dem Betreff „Diskretionärer Zuschussanspruch für den Vorfall mit der CoW.Fi-Domain-Hijacking“ senden, einschließlich der betroffenen Wallet-Adresse, einer Liste der abgezogenen Vermögenswerte und Beträge, relevanten Transaktions-Hashes und dem Namen des Antragstellers. Sobald das Support-Team die Anfrage mit den On-Chain-Daten abgleicht, erhalten die Nutzer eine Follow-up-E-Mail mit weiteren Schritten, die KYC-Prüfungen vor der Freigabe von Geldern umfassen können.
Schlussfolgerung
Der Zeitplan für CIP-86 sieht vor, dass alle gültigen Ansprüche bis zum 14. Mai eingereicht, in den folgenden Wochen überprüft und bis zum 31. Mai erstattet werden, abhängig von den Ergebnissen der DAO-Kasse und der Verifizierung. Für CoW DAO ist die Episode zu einer Fallstudie geworden, wie DeFi-Protokolle auf Off-Chain-Angriffe auf die Lieferkette reagieren können: indem sie die Sicherheit auf Domain-Ebene als kritische Infrastruktur behandeln, die Integrität des Protokolls von Web-Ebenen-Angriffen trennen und die Governance nutzen, um freiwillige, zeitlich begrenzte Entschädigungen zu genehmigen, ohne die Geschichte On-Chain umzuschreiben.
