CoW DAO Menawarkan Hibah Diskresioner untuk Korban Pembajakan Domain
CoW DAO telah menyetujui CIP-86 untuk menawarkan hibah diskresioner hingga 100% kepada korban pembajakan domain cow.fi yang terjadi pada bulan April. Pengguna yang terdampak diminta untuk mengajukan klaim paling lambat 14 Mei, dengan pembayaran yang ditargetkan pada 31 Mei. Keputusan ini diambil setelah pemungutan suara komunitas mengenai proposal tata kelola CIP-86, yang menetapkan program hibah diskresioner untuk mengganti kerugian hingga 100% bagi pengguna yang menjadi korban phishing saat pendaftar domain proyek berada di bawah kendali penyerang.
Detail Insiden Pembajakan
Menurut proposal CIP-86 dan laporan pasca kejadian DAO, insiden tersebut terjadi pada 14 April 2026, ketika pendaftar domain .fi CoW Swap, Gandi SAS, dikompromikan dalam serangan rekayasa sosial. Penyerang mengeksploitasi kontrol pendaftar atas catatan DNS yang digunakan oleh server AWS Route 53 CoW Swap, mengambil alih domain cow.fi selama sekitar 4,5 jam dan mengalihkan pengguna ke situs phishing yang meniru antarmuka asli. Selama periode tersebut, pengguna yang mengunjungi domain yang dibajak disajikan dengan antarmuka perdagangan palsu dan ditipu untuk menandatangani transaksi berbahaya, yang menguras token dari dompet mereka.
Pernyataan CoW DAO
CoW DAO telah berulang kali menekankan bahwa kontrak pintar CoW Protocol dan infrastruktur backend tidak pernah dilanggar, dan bahwa kerentanan tersebut “sepenuhnya berada di lapisan pendaftar domain, bukan di kode protokol.” Laporan insiden KuCoin memperkirakan kerugian pengguna sekitar $1,2 juta dalam USDC dan aset lainnya, angka yang juga diulang oleh beberapa analisis lanjutan.
Program Hibah Diskresioner
Untuk mengatasi kerugian tersebut, komunitas CoW DAO menyetujui CIP-86, yang menetapkan program hibah diskresioner satu kali yang didanai dari Cadangan Pembelaan Hukum DAO. Di bawah rencana ini, korban yang memenuhi syarat dapat menerima kompensasi hingga 100% untuk kerugian yang terverifikasi, tetapi DAO menekankan bahwa pembayaran adalah hibah “niat baik” yang bersifat sukarela dan tidak merupakan pengakuan tanggung jawab hukum. Proposal ini juga memberikan mandat kepada tim inti untuk mengejar tindakan hukum terhadap pihak ketiga jika diperlukan, termasuk entitas yang terlibat dalam serangan rantai pasokan pendaftar.
Kriteria Pengajuan Klaim
CIP-86 menetapkan kriteria ketat untuk hibah bantuan. Pengklaim harus telah berinteraksi dengan kontrak berbahaya selama jendela pembajakan, menunjukkan riwayat penggunaan CoW Swap sebelum serangan, dan memberikan bukti on-chain yang cukup untuk mengaitkan kerugian mereka dengan insiden phishing, bukan penipuan yang tidak terkait. Ringkasan yang dihosting oleh Binance mencatat bahwa klaim akan diproses sebagai “hibah diskresioner” daripada penggantian otomatis, dengan proses verifikasi yang membandingkan data yang diajukan dengan catatan on-chain sebelum pembayaran disetujui.
Proses Pengajuan Klaim
CoW DAO dan saluran ekosistemnya kini mendesak pengguna yang terdampak untuk mengajukan klaim sebelum batas waktu 14 Mei. Untuk memenuhi syarat, pengguna harus mengirim email dengan subjek “Klaim Hibah Diskresioner untuk Insiden Pembajakan Domain CoW.Fi,” termasuk alamat dompet yang terdampak, daftar aset dan jumlah yang dikuras, hash transaksi yang relevan, dan nama pengklaim. Setelah staf dukungan mencocokkan permintaan dengan data on-chain, pengguna akan menerima email tindak lanjut yang menjelaskan langkah tambahan, yang mungkin termasuk pemeriksaan KYC sebelum dana dirilis.
Garis Waktu dan Harapan
Garis waktu CIP-86 memperkirakan bahwa semua klaim yang valid akan diajukan sebelum 14 Mei, ditinjau selama beberapa minggu berikutnya, dan diganti rugi sebelum 31 Mei, tergantung pada hasil verifikasi dan kas DAO. Bagi CoW DAO, episode ini telah menjadi studi kasus tentang bagaimana protokol DeFi dapat merespons serangan rantai pasokan off-chain: dengan memperlakukan keamanan tingkat domain sebagai infrastruktur kritis, memisahkan integritas protokol dari eksploitasi lapisan web, dan menggunakan tata kelola untuk mengotorisasi kompensasi sukarela yang dibatasi waktu tanpa menulis ulang sejarah di on-chain.
