CoW DAO Aprueba el CIP-86
CoW DAO ha aprobado el CIP-86, que ofrece subvenciones discrecionales de hasta el 100% a las víctimas del secuestro del dominio cow.fi ocurrido en abril. Las reclamaciones deben presentarse antes del 14 de mayo, y los pagos están previstos para el 31 de mayo.
Detalles del Incidente
Esta decisión sigue a una votación de la comunidad sobre la propuesta de gobernanza CIP-86, que establece un programa de subvenciones para reembolsar pérdidas de hasta el 100% a los usuarios que fueron víctimas de phishing mientras el registrador de dominio del proyecto estaba bajo el control del atacante.
Según la propuesta CIP-86 y el análisis posterior de la DAO, el incidente tuvo lugar el 14 de abril de 2026, cuando el registrador de dominio .fi de CoW Swap, Gandi SAS, fue comprometido en un ataque de ingeniería social. Los atacantes explotaron los controles del registrador sobre los registros DNS utilizados por los servidores AWS Route 53 de CoW Swap, tomando brevemente el control del dominio cow.fi durante aproximadamente 4.5 horas y redirigiendo a los usuarios a un sitio web de phishing que imitaba la interfaz real.
Durante ese tiempo, los usuarios que visitaron el dominio secuestrado se encontraron con una interfaz de trading falsa y fueron engañados para firmar transacciones maliciosas, lo que resultó en el drenaje de tokens de sus billeteras.
Compensación y Proceso de Reclamación
CoW DAO ha enfatizado repetidamente que los contratos inteligentes y la infraestructura de backend de CoW Protocol nunca fueron vulnerados, y que la vulnerabilidad estaba «totalmente en la capa del registrador de dominio en lugar de en el código del protocolo». Un informe de incidentes de KuCoin estimó las pérdidas de los usuarios en aproximadamente $1.2 millones en USDC y otros activos, cifra que fue corroborada por múltiples análisis posteriores.
Para abordar estas pérdidas, la comunidad de CoW DAO aprobó el CIP-86, que establece un programa de subvenciones discrecionales único financiado por la Reserva de Defensa Legal de la DAO. Según el plan, las víctimas elegibles pueden recibir hasta el 100% de compensación por pérdidas verificadas, aunque la DAO aclara que los pagos son subvenciones de «buena voluntad» y no constituyen una admisión de responsabilidad legal.
La propuesta también otorga al equipo central el mandato para emprender acciones legales contra terceros cuando sea necesario, incluidas entidades involucradas en el ataque a la cadena de suministro del registrador.
Criterios para Reclamaciones
El CIP-86 establece criterios estrictos para las subvenciones de alivio. Los reclamantes deben haber interactuado con el contrato malicioso durante la ventana de secuestro, demostrar un historial de uso de CoW Swap antes del ataque y proporcionar suficiente evidencia en la cadena para vincular sus pérdidas con el incidente de phishing, excluyendo estafas no relacionadas.
Un resumen alojado por Binance señala que las reclamaciones se procesarán como «subvenciones discrecionales» en lugar de reembolsos automáticos, con un proceso de verificación que comparará los datos presentados con los registros en la cadena antes de autorizar cualquier pago.
Instrucciones para Usuarios Afectados
CoW DAO y sus canales del ecosistema están instando a los usuarios afectados a presentar reclamaciones antes de la fecha límite del 14 de mayo. Para calificar, los usuarios deben enviar un correo electrónico con el asunto
«Reclamación de Subvención Discrecional por el Incidente de Secuestro del Dominio CoW.Fi»
, incluyendo la dirección de la billetera afectada, una lista de activos y montos drenados, hashes de transacciones relevantes y el nombre del reclamante.
Una vez que el personal de soporte coincida la solicitud con los datos en la cadena, los usuarios recibirán un correo electrónico de seguimiento que detalla cualquier paso adicional, que puede incluir verificaciones KYC antes de que se liberen los fondos.
Línea de Tiempo del CIP-86
La línea de tiempo del CIP-86 anticipa que todas las reclamaciones válidas se presenten antes del 14 de mayo, se revisen durante las semanas siguientes y se reembolsen antes del 31 de mayo, sujeto a los resultados de la tesorería de la DAO y la verificación.
Para CoW DAO, este episodio se ha convertido en un estudio de caso sobre cómo los protocolos DeFi pueden responder a ataques de cadena de suministro fuera de la cadena, tratando la seguridad a nivel de dominio como infraestructura crítica, separando la integridad del protocolo de los exploits a nivel web y utilizando la gobernanza para autorizar compensaciones voluntarias y limitadas en el tiempo sin reescribir la historia en la cadena.
