CoW DAO et le CIP-86
CoW DAO a approuvé le CIP-86, qui offre des subventions discrétionnaires allant jusqu’à 100 % aux victimes du détournement de domaine cow.fi survenu en avril. Les demandes doivent être soumises d’ici le 14 mai, avec des paiements prévus d’ici le 31 mai. Cette décision fait suite à un vote de la communauté sur la proposition de gouvernance CIP-86, qui établit un programme de subventions pour rembourser les pertes des utilisateurs victimes de phishing, alors que le registraire de domaine du projet était sous le contrôle des attaquants.
Incident de détournement de domaine
Selon la proposition CIP-86 et le rapport post-mortem de la DAO, l’incident s’est produit le 14 avril 2026, lorsque le registraire de domaine .fi de CoW Swap, Gandi SAS, a été compromis lors d’une attaque d’ingénierie sociale. Les attaquants ont exploité les contrôles du registraire sur les enregistrements DNS utilisés par les serveurs AWS Route 53 de CoW Swap, prenant brièvement le contrôle du domaine cow.fi pendant environ 4,5 heures et redirigeant les utilisateurs vers un site de phishing imitant l’interface réelle.
Pendant cette période, les utilisateurs qui ont visité le domaine détourné ont été exposés à une interface de trading factice et ont été trompés en signant des transactions malveillantes, ce qui a entraîné le vol de tokens de leurs portefeuilles.
CoW DAO a souligné à plusieurs reprises que les contrats intelligents de CoW Protocol et l’infrastructure backend n’ont jamais été compromis, et que la vulnérabilité était entièrement liée au registraire de domaine, et non au code du protocole.
Un rapport d’incident de KuCoin a estimé les pertes des utilisateurs à environ 1,2 million de dollars en USDC et autres actifs, un chiffre confirmé par plusieurs analyses ultérieures.
Programme de subventions
Pour remédier à ces pertes, la communauté de CoW DAO a approuvé le CIP-86, qui met en place un programme de subventions discrétionnaires financé par la Réserve de Défense Légale de la DAO. Selon le plan, les victimes éligibles peuvent recevoir jusqu’à 100 % de compensation pour les pertes vérifiées. Cependant, la DAO précise que ces paiements sont des subventions de « bonne volonté » et ne constituent pas une admission de responsabilité légale.
La proposition donne également à l’équipe dirigeante le mandat d’engager des poursuites judiciaires contre des tiers si nécessaire, y compris des entités impliquées dans l’attaque de la chaîne d’approvisionnement du registraire.
Critères de demande
Le CIP-86 établit des critères stricts pour les subventions d’aide. Les demandeurs doivent :
- Avoir interagi avec le contrat malveillant pendant la période de détournement,
- Démontrer un historique d’utilisation de CoW Swap avant l’attaque,
- Fournir des preuves suffisantes sur la chaîne pour lier leurs pertes à l’incident de phishing, plutôt qu’à des escroqueries non liées.
Un résumé hébergé par Binance note que les demandes seront traitées comme des « subventions discrétionnaires » plutôt que des remboursements automatiques, le processus de vérification comparant les données soumises aux enregistrements sur la chaîne avant qu’un paiement ne soit autorisé.
Soumission des demandes
CoW DAO et ses canaux d’écosystème exhortent maintenant les utilisateurs concernés à soumettre leurs demandes avant la date limite du 14 mai. Pour être éligibles, les utilisateurs doivent envoyer un e-mail avec l’objet « Demande de Subvention Discrétionnaire pour l’Incident de Détournement de Domaine CoW.Fi », incluant :
- L’adresse du portefeuille concerné,
- Une liste des actifs et des montants drainés,
- Les hachages de transaction pertinents,
- Le nom du demandeur.
Une fois que le personnel de support aura fait correspondre la demande avec les données sur la chaîne, les utilisateurs recevront un e-mail de suivi décrivant les étapes supplémentaires, qui peuvent inclure des vérifications KYC avant que les fonds ne soient libérés.
Calendrier et conclusion
Le calendrier du CIP-86 prévoit que toutes les demandes valides seront soumises d’ici le 14 mai, examinées au cours des semaines suivantes, et remboursées d’ici le 31 mai, sous réserve des résultats de la trésorerie de la DAO et de la vérification.
Pour CoW DAO, cet épisode est devenu une étude de cas sur la manière dont les protocoles DeFi peuvent répondre aux attaques de la chaîne d’approvisionnement hors chaîne : en considérant la sécurité au niveau du domaine comme une infrastructure critique, en séparant l’intégrité du protocole des exploits au niveau web, et en utilisant la gouvernance pour autoriser une compensation volontaire et limitée dans le temps sans réécrire l’histoire sur la chaîne.
