CoW DAO Approva il CIP‑86 per le Vittime dell’Hijack del Dominio
CoW DAO ha approvato il CIP‑86, che prevede sovvenzioni discrezionali fino al 100% per le vittime dell’hijack del dominio cow.fi avvenuto ad aprile. Gli utenti interessati devono presentare le richieste dettagliate entro il 14 maggio, con pagamenti previsti entro il 31 maggio.
Dettagli dell’Incidente
La decisione è stata presa dopo un voto della comunità sulla proposta di governance CIP‑86, che stabilisce un programma di sovvenzioni per rimborsare le perdite subite dagli utenti a causa di phishing, mentre il registrar del dominio era sotto il controllo degli attaccanti. L’incidente è avvenuto il 14 aprile 2026, quando il registrar del dominio .fi di CoW Swap, Gandi SAS, è stato compromesso in un attacco di ingegneria sociale.
Gli attaccanti hanno sfruttato i controlli del registrar sui record DNS utilizzati dai server AWS Route 53 di CoW Swap, prendendo brevemente il controllo del dominio cow.fi per circa 4,5 ore e reindirizzando gli utenti a un sito web di phishing che imitava l’interfaccia reale. Durante quel periodo, gli utenti che visitavano il dominio hijackato venivano serviti con un’interfaccia di trading falsa e ingannati a firmare transazioni dannose, che drenavano token dai loro portafogli.
CoW DAO ha sottolineato che i contratti intelligenti e l’infrastruttura backend di CoW Protocol non sono mai stati violati e che la vulnerabilità era “interamente a livello del registrar del dominio, piuttosto che nel codice del protocollo”.
Stime delle Perdite e Programma di Sovvenzioni
Un rapporto sugli incidenti di KuCoin ha stimato le perdite degli utenti a circa 1,2 milioni di dollari in USDC e altri asset, cifra confermata da molteplici analisi successive. Per affrontare queste perdite, la comunità di CoW DAO ha approvato il CIP‑86, che istituisce un programma di sovvenzioni discrezionali una tantum finanziato dal Fondo di Difesa Legale del DAO.
Secondo il piano, le vittime idonee possono ricevere fino al 100% di risarcimento per le perdite verificate, ma il DAO sottolinea che i pagamenti sono sovvenzioni volontarie di “buona volontà” e non costituiscono un’ammissione di responsabilità legale.
Criteri per le Richieste di Sovvenzione
Il CIP‑86 stabilisce criteri rigorosi per le sovvenzioni di aiuto. I richiedenti devono aver interagito con il contratto dannoso durante la finestra di hijack, dimostrare una storia di utilizzo di CoW Swap prima dell’attacco e fornire prove on-chain sufficienti per collegare le loro perdite all’incidente di phishing, piuttosto che a truffe non correlate.
Un riepilogo ospitato da Binance nota che le richieste saranno elaborate come “sovvenzioni discrezionali” piuttosto che rimborsi automatici, con il processo di verifica che confronta i dati inviati con i registri on-chain prima che venga autorizzato qualsiasi pagamento.
Scadenze e Procedura di Richiesta
CoW DAO e i suoi canali ecosistemici stanno ora esortando gli utenti interessati a presentare richieste prima della scadenza del 14 maggio. Per qualificarsi, gli utenti devono inviare un’email con l’oggetto “Richiesta di Sovvenzione Discrezionale per l’Incidente di Hijack del Dominio CoW.Fi”, includendo l’indirizzo del portafoglio interessato, un elenco di asset e importi drenati, gli hash delle transazioni pertinenti e il nome del richiedente.
Una volta che il personale di supporto abbina la richiesta con i dati on-chain, gli utenti riceveranno un’email di follow-up che delinea eventuali ulteriori passaggi, che possono includere controlli KYC prima che i fondi vengano rilasciati.
La tempistica del CIP‑86 prevede che tutte le richieste valide siano presentate entro il 14 maggio, esaminate nelle settimane successive e rimborsate entro il 31 maggio, soggette ai risultati del tesoro del DAO e della verifica.
Conclusione
Per CoW DAO, l’episodio è diventato un caso studio su come i protocolli DeFi possono rispondere ad attacchi alla catena di fornitura off-chain: trattando la sicurezza a livello di dominio come infrastruttura critica, separando l’integrità del protocollo dagli exploit a livello web e utilizzando la governance per autorizzare risarcimenti volontari e limitati nel tempo senza riscrivere la storia on-chain.
