La plateforme d’agrégation DEX Cow Swap, construite sur le protocole Cow Protocol, a confirmé le 14 avril que son front-end principal swap.cow.fi a fait l’objet d’un détournement DNS. L’attaquant a redirigé le trafic des utilisateurs vers un site frauduleux en modifiant les enregistrements de domaine, puis a déployé un programme de vidage de portefeuille. Cow DAO a immédiatement suspendu l’API de l’accord et les services backend ; les utilisateurs doivent révoquer immédiatement les autorisations concernées.
Chronologie complète de l’événement
UTC 14:54 : les enregistrements DNS de swap.cow.fi ont été modifiés ; l’attaquant commence à diriger le trafic vers une interface de transaction frauduleuse
UTC 15:41 : Cow DAO publie un avertissement public sur la plateforme X, recommandant aux utilisateurs d’arrêter totalement toute interaction avec le site pendant la période d’enquête
UTC 16:24 : la confirmation officielle du détournement DNS indique clairement que le backend de l’accord et l’API elle-même n’ont pas été compromis ; la suspension du service est une mesure préventive
UTC 16:33 : Cow DAO publie des instructions précises, exigeant que les utilisateurs ayant interagi avec le front-end compromis après le UTC 14:54 révoquent immédiatement leurs autorisations
UTC 18:15 : l’équipe continue la surveillance, demandant aux utilisateurs ayant effectué des transactions suspectes de soumettre les hachages de transaction pour examen
Au moment de la publication, l’accord est toujours en pause. Cow DAO n’a pas encore annoncé un rétablissement complet du service, et n’a pas non plus publié un rapport d’analyse post-incident complet.
Mécanisme d’attaque du détournement DNS : pourquoi le front-end DeFi reste une entrée à haut risque
Le détournement DNS ne nécessite pas de compromettre le code des contrats intelligents ; l’attaque vise le niveau d’infrastructure des noms de domaine. L’attaquant modifie les enregistrements DNS du domaine cible pour rediriger le trafic vers un serveur frauduleux, puis déploie dans l’interface frauduleuse un programme de vidage de portefeuille (Wallet Drainer). Une fois qu’un utilisateur connecte son portefeuille ou signe une autorisation dans l’interface frauduleuse, le programme malveillant déclenche immédiatement un transfert automatique.
Les entrées techniques de ce type d’attaque se situent généralement non pas dans le code de l’accord, mais au niveau de la gestion des noms de domaine — notamment via des attaques d’ingénierie sociale contre le personnel du service client, l’utilisation de justificatifs 2FA (double authentification) de domaine divulgués, ou une intrusion directe dans le compte de gestion du domaine. Au cours des derniers mois, plusieurs protocoles DeFi ont subi des attaques DNS similaires sur leurs front-ends.
Le protocole Cow Protocol est, lui, un protocole non-custodial et ne détient aucun fonds utilisateur. Le risque se limite donc aux utilisateurs qui ont activement signé des transactions via le front-end compromis. La communauté a signalé quelques transactions suspectes, mais à ce jour, aucun retrait systémique de fonds affectant l’ensemble du protocole n’a été confirmé.
Liste d’actions immédiates pour les utilisateurs concernés
Si vous avez accédé à swap.cow.fi ou cow.fi après le UTC 14:54, et que vous avez connecté un portefeuille ou signé une quelconque transaction, vous devez immédiatement effectuer les étapes suivantes :
Instructions d’action d’urgence
Rendez-vous sur revoke.cash : révoquez immédiatement toutes les autorisations de contrat pertinentes accordées après les horodatages ci-dessus
Vérifiez l’historique des transactions du portefeuille : confirmez s’il y a eu des transferts non autorisés ou des actions d’autorisation inhabituelles
Arrêtez d’accéder aux domaines concernés : évitez d’accéder à swap.cow.fi et cow.fi jusqu’à ce que Cow DAO confirme officiellement que le « site est sûr et utilisable »
Soumettre le hachage de la transaction : si vous trouvez une transaction suspecte, soumettez la valeur de hachage conformément aux instructions de Cow DAO pour un examen de sécurité
Questions fréquentes
Comment le détournement DNS de Cow Protocol s’est-il produit ?
L’attaquant modifie l’enregistrement DNS de swap.cow.fi pour rediriger le trafic des utilisateurs légitimes vers un site frauduleux qui a déployé un programme de vidage de portefeuille. Ce type d’attaque passe généralement par des attaques d’ingénierie sociale contre le service client d’un fournisseur de noms de domaine, ou par l’utilisation de justificatifs 2FA du compte de gestion du domaine divulgués ; il ne s’agit pas de failles au niveau des contrats intelligents de l’accord.
Cette attaque a-t-elle affecté les contrats intelligents de Cow Protocol ?
Non. Cow DAO confirme clairement que les contrats intelligents et l’infrastructure on-chain n’ont été absolument pas affectés par cet événement. Le backend de l’accord et l’API n’ont pas non plus été compromis. La suspension du service est une mesure purement préventive, visant à empêcher davantage d’utilisateurs d’accéder au front-end compromis pendant la période d’enquête.
Comment savoir si je suis concerné ?
Si vous avez accédé à swap.cow.fi ou cow.fi après le UTC 14:54 et que vous avez connecté un portefeuille, ou si vous avez signé une quelconque transaction, il existe un risque potentiel. Allez immédiatement sur revoke.cash pour révoquer les autorisations, puis vérifiez attentivement les enregistrements de transactions récentes du portefeuille. Surveillez en continu le compte officiel X de Cow DAO, en attendant l’annonce officielle du rétablissement en toute sécurité du service.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Les autorités françaises renforcent la sécurité des dirigeants crypto face aux menaces d’enlèvement
Les autorités françaises renforcent la sécurité des dirigeants et des investisseurs d’actifs numériques en raison de récents enlèvements. À la suite de ces menaces, la police a escorté les participants à Paris Blockchain Week, et des mesures de protection pour les détenteurs de crypto sont en cours d’élaboration.
GateNewsIl y a 38m
Zonda Exchange révèle un portefeuille à froid de 4 500 BTC alors que les clés privées n’ont pas été transférées
Zonda, une bourse de crypto polonaise, a révélé un portefeuille à froid contenant 4,503 BTC dans le contexte d’une crise de retraits. Le PDG Przemysław Kral a répondu à des accusations de détournement de fonds et a promis d’intenter une action en justice contre de fausses allégations, en soulignant que les clés privées n’avaient jamais été transférées en raison de la disparition de l’ancien PDG.
GateNewsIl y a 1h
Démarrage du remboursement dans l'escroquerie OneCoin, dite de type Ponzi : le ministère américain de la Justice prévoit 40 millions de dollars d’indemnisation pour les victimes
L'escroquerie OneCoin, dite escroquerie de type Ponzi de Ruja, a été créée par Ignatova en 2014, attirant 3,5 millions d'investisseurs et faisant perdre environ 4 milliards de dollars. Le ministère américain de la Justice versera 40 millions de dollars d'indemnisation aux victimes, tandis que la fondatrice a disparu, figure dans la liste des fugitifs les plus recherchés du FBI et l’affaire a déclenché une coopération entre des organismes d’application de la loi dans le monde entier, avec des sanctions visant plusieurs complices.
ChainNewsAbmediaIl y a 1h
Rhea Finance subit une attaque et perd environ 7,6 M$
Rhea Finance a subi une violation de sécurité au cours de laquelle un attaquant a créé de faux contrats de jetons et manipulé des pools de liquidité, trompant le système d’oracle et en extrayant au moins 7,6 millions $ d’actifs.
GateNewsIl y a 2h
L’Ukraine démantèle un réseau international de cybercriminalité et saisit $3M de cryptomonnaie
Un suspect lié à un groupe international de cybercriminels a été arrêté en Ukraine pour $100 million dans le cadre d’une fraude et de blanchiment d’argent. La police a saisi $11 million d’actifs et $3 million en cryptomonnaie. Le suspect fait face à des accusations de falsification de documents et de blanchiment d’argent.
GateNewsIl y a 4h
Le secteur DeFi fait face à de multiples pressions alors que les rendements baissent et que $285M un piratage soulève des inquiétudes en matière de sécurité
La finance décentralisée (DeFi) subit des pressions alors que les rendements des prêts chutent à des niveaux comparables à ceux des obligations traditionnelles, que l’activité blockchain ralentit et qu’un piratage important suscite des inquiétudes en matière de sécurité, mettant à l’épreuve les affirmations d’une sûreté de niveau institutionnel.
GateNewsIl y a 4h
