O CoW DAO aprovou o CIP-86 para fornecer subsídios discricionários de até 100% às vítimas do sequestro de domínio cow.fi em abril, com reivindicações detalhadas vencendo até 14 de maio e pagamentos previstos para serem feitos até 31 de maio.
resumo
O CIP-86 criou um programa único de subsídios discricionários a partir das reservas de defesa legal do CoW DAO, com o objetivo de fornecer reembolso de até 100% às vítimas confirmadas do sequestro de Cow.fi sem admissão de responsabilidade. O ataque de 14 de abril aproveitou a engenharia social do registrador Gandi SAS para sequestrar o DNS cow.fi por quatro horas e meia, redirecionando os usuários para uma interface de phishing e exfiltrando aproximadamente US$ 1,2 milhão em USDC e outros tokens. Os usuários qualificados devem enviar por e-mail sua carteira, ativos, hashes TX e ID até 14 de maio (o e-mail é protegido). As reivindicações serão verificadas na rede e, se aprovadas, reembolsadas até 31 de maio, provavelmente após verificações KYC.
O CoW DAO aprovou oficialmente um plano de compensação de usuários para vítimas do sequestro de domínio cow.fi em abril, pedindo aos usuários afetados que registrem reclamações até 14 de maio. Esta decisão segue-se a uma votação da comunidade sobre a proposta de governação CIP-86, que estabelece um programa de subvenção discricionária que compensa até 100% das perdas para utilizadores que foram vítimas de phishing enquanto o registador de domínio do projeto estava sob o controlo do atacante.
Engenharia social na camada de registrador
De acordo com a proposta CIP-86 e a postmortem do DAO, o incidente ocorreu em 14 de abril de 2026, quando o registrador de domínio .fi do CoW Swap, Gandi SAS, foi comprometido em um ataque de engenharia social. Os invasores exploraram o controle do registrador sobre os registros DNS usados pelos servidores AWS Route 53 do CoW Swap e assumiram brevemente o domínio cow.fi por aproximadamente 4,5 horas, redirecionando os usuários para um site de phishing que imitava a interface real.
Durante esse período, os usuários que acessaram o domínio sequestrado receberam uma interface de transação falsa e foram induzidos a assinar transações maliciosas, o que resultou na drenagem de tokens de suas carteiras. O CoW DAO enfatizou repetidamente que os contratos inteligentes e a infraestrutura de back-end do protocolo CoW nunca foram comprometidos e que a vulnerabilidade “está inteiramente na camada de registro de domínio, não no código do protocolo”. O relatório de incidentes da KuCoin estima perdas de usuários em USDC e outros ativos em aproximadamente US$ 1,2 milhão, um número também refletido por múltiplas análises de rastreamento.
CIP‑86: Subvenções discricionárias e normas rigorosas
Para lidar com essas perdas, a comunidade CoW DAO endossou o CIP-86. Isto estabelece um programa único de subsídios discricionários financiado pelo Fundo de Reserva de Defesa Legal do DAO. Ao abrigo do plano, as vítimas elegíveis podem receber até 100% de compensação por perdas confirmadas, mas o DAO sublinha que os pagamentos são subvenções voluntárias de “boa vontade” e não uma admissão de responsabilidade legal. A proposta também dá à equipa principal o poder de tomar medidas legais contra terceiros, incluindo organizações envolvidas em ataques à cadeia de fornecimento de registadores, se necessário.
O CIP-86 estabelece critérios rigorosos para subsídios de ajuda. Os reclamantes devem demonstrar um histórico de interação com contratos maliciosos durante o período de sequestro, usando o CoW Swap antes do ataque, e fornecer evidências suficientes na cadeia para vincular a perda a um incidente de phishing, em vez de a um golpe não relacionado. Uma visão geral hospedada pela Binance afirma que as reivindicações serão tratadas como “concessões discricionárias” em vez de reembolsos automáticos devido a um processo de verificação que compara os dados enviados com os registros da rede antes que os pagamentos sejam aprovados.
Procedimento de reclamação e prazo de 14 de maio
O CoW DAO e seus canais de ecossistema agora estão incentivando os usuários afetados a enviar reivindicações antes do prazo final de 14 de maio. Para serem elegíveis, os usuários devem enviar um e-mail para (e-mail protegido) com o assunto “Reivindicação de subsídio discricionário para incidente de sequestro de domínio CoW.Fi”, incluindo o endereço da carteira afetada, uma lista dos ativos e valores vazados, o hash da transação relevante e o nome do requerente. Assim que a equipe de suporte combinar a solicitação com os dados da rede, os usuários receberão um e-mail de acompanhamento descrevendo as etapas adicionais. Isso pode incluir verificações KYC antes da liberação dos fundos.
O cronograma do CIP-86 prevê que todas as reivindicações válidas serão apresentadas até 14 de maio, analisadas nas próximas semanas e reembolsadas até 31 de maio, dependendo do Tesouro DAO e dos resultados da verificação. Para CoW DAO, este episódio tornou-se um estudo de caso sobre como os protocolos DeFi podem responder a ataques fora da cadeia de suprimentos, tratando a segurança em nível de domínio como uma infraestrutura crítica, separando a integridade do protocolo das explorações da camada web e usando a governança para autorizar compensação voluntária e com limite de tempo, sem reescrever o histórico na cadeia.
