CoW DAOのCIP-86承認
CoW DAOは、4月に発生したcow.fiドメインハイジャックの被害者に対し、最大100%の裁量的補助金を提供するCIP-86を承認しました。被害者は、詳細な請求を5月14日までに提出する必要があり、支払いは5月31日を目指しています。
事件の概要
この決定は、CIP-86というガバナンス提案に基づくコミュニティ投票の結果であり、攻撃者の管理下にあったプロジェクトのドメインレジストラにフィッシングされたユーザーの損失を最大100%まで補償する裁量的補助金プログラムを設立します。
CIP-86提案およびDAOの事後分析によると、事件は2026年4月14日に発生し、CoW Swapの.fiドメインレジストラであるGandi SASがソーシャルエンジニアリング攻撃により侵害されました。攻撃者は、CoW SwapのAWS Route 53サーバーで使用されるDNSレコードに対するレジストラの制御を悪用し、約4.5時間にわたりcow.fiドメインを一時的に乗っ取り、実際のインターフェースを模倣したフィッシングウェブサイトにユーザーをリダイレクトしました。
被害と補償プログラム
その間に、ハイジャックされたドメインを訪れたユーザーは偽の取引UIを提供され、悪意のある取引にサインするように騙され、ウォレットからトークンが盗まれました。CoW DAOは、CoW Protocolのスマートコントラクトおよびバックエンドインフラストラクチャは決して侵害されなかったことを繰り返し強調しており、脆弱性は「プロトコルコードではなく、完全にドメインレジストラ層にあった」と述べています。
KuCoinのインシデントレポートは、ユーザーの損失を約120万ドルのUSDCおよびその他の資産と見積もっており、この数字は複数のフォローアップ分析でも確認されています。これらの損失に対処するために、CoW DAOのコミュニティはCIP-86を承認し、DAOの法的防衛準備金から資金提供される一度限りの裁量的補助金プログラムを設立しました。
請求手続きと要件
このプランの下で、対象となる被害者は確認された損失に対して最大100%の補償を受けることができますが、DAOは支払いが法的責任の認識を構成しない「善意」の補助金であることを強調しています。
CIP-86は、救済補助金の厳格な基準を定めています。請求者は、ハイジャックのウィンドウ中に悪意のある契約と相互作用し、攻撃前にCoW Swapを使用していた履歴を示し、フィッシング事件に関連する損失を証明するための十分なオンチェーン証拠を提供する必要があります。
タイムラインと今後のステップ
CoW DAOおよびそのエコシステムチャネルは、影響を受けたユーザーに5月14日の締切前に請求を行うよう促しています。資格を得るためには、ユーザーは「CoW.Fiドメインハイジャック事件の裁量的補助金請求」という件名のメールを送信し、影響を受けたウォレットアドレス、流出した資産とその金額のリスト、関連する取引ハッシュ、および請求者の名前を含める必要があります。
サポートスタッフがリクエストをオンチェーンデータと照合すると、ユーザーは資金がリリースされる前にKYCチェックを含む追加の手順を概説したフォローアップメールを受け取ります。CIP-86のタイムラインは、すべての有効な請求が5月14日までに提出され、次の数週間でレビューされ、DAOの財務および検証結果に基づいて5月31日までに補償されることを見込んでいます。
結論
CoW DAOにとって、このエピソードは、DeFiプロトコルがオフチェーンのサプライチェーン攻撃にどのように対応できるかのケーススタディとなっています:ドメインレベルのセキュリティを重要なインフラストラクチャとして扱い、プロトコルの整合性をウェブレイヤーの悪用から分離し、ガバナンスを使用して歴史をオンチェーンで書き換えることなく、任意の時間制限付き補償を承認することによってです。
