CoW DAO의 CIP-86 승인 및 도메인 해킹 피해 보상
CoW DAO는 4월에 발생한 cow.fi 도메인 해킹 피해자에게 최대 100%의 재량 보조금을 제공하는 CIP-86을 승인했습니다. 피해자들은 5월 14일까지 청구를 제출해야 하며, 지급은 5월 31일을 목표로 하고 있습니다.
이 결정은 커뮤니티 투표에 따른 것으로, 공격자가 도메인 등록 기관을 장악하는 동안 피싱을 당한 사용자에게 손실을 보상하는 프로그램을 설정합니다.
CIP-86 제안서와 DAO의 사후 분석에 따르면, 이 사건은 2026년 4월 14일에 발생했으며, CoW Swap의 .fi 도메인 등록 기관인 Gandi SAS가 사회 공학 공격에 의해 침해되었습니다. 공격자는 CoW Swap의 AWS Route 53 서버에서 사용되는 DNS 기록에 대한 등록 기관의 제어를 악용하여 약 4.5시간 동안 cow.fi 도메인을 장악하고 사용자를 실제 인터페이스를 모방한 피싱 웹사이트로 리디렉션했습니다.
이 기간 동안 해킹된 도메인을 방문한 사용자들은 가짜 거래 UI를 제공받고 악성 거래에 서명하도록 속아 지갑에서 토큰이 유출되었습니다. CoW DAO는 CoW Protocol의 스마트 계약과 백엔드 인프라가 결코 침해되지 않았으며, 취약점이 “프로토콜 코드가 아닌 도메인 등록 기관 계층에 전적으로 존재했다”고 여러 차례 강조했습니다.
KuCoin 사건 보고서는 사용자 손실을 약 120만 달러의 USDC 및 기타 자산으로 추정했으며, 이는 여러 후속 분석에서도 확인되었습니다. 이러한 손실을 해결하기 위해 CoW DAO 커뮤니티는 DAO의 법적 방어 기금에서 자금을 지원하는 일회성 재량 보조금 프로그램을 설정하는 CIP-86을 승인했습니다.
이 계획에 따라 적격 피해자는 확인된 손실에 대해 최대 100%의 보상을 받을 수 있지만, DAO는 지급이 자발적인 “선의의” 보조금이며 법적 책임의 인정이 아님을 강조합니다.
이 제안은 또한 핵심 팀이 필요할 경우 등록 기관 공급망 공격에 관련된 제3자에 대해 법적 조치를 취할 수 있는 권한을 부여합니다. CIP-86은 구호 보조금에 대한 엄격한 기준을 설정합니다. 청구자는 해킹 기간 동안 악성 계약과 상호작용했음을 입증하고, 공격 이전에 CoW Swap을 사용한 이력을 보여주며, 손실을 피싱 사건과 연결할 수 있는 충분한 온체인 증거를 제공해야 합니다.
Binance에서 호스팅된 요약에 따르면, 청구는 자동 환급이 아닌 “재량 보조금”으로 처리되며, 지급이 승인되기 전에 제출된 데이터와 온체인 기록을 비교하는 검증 프로세스가 포함됩니다. CoW DAO와 그 생태계 채널은 이제 영향을 받은 사용자에게 5월 14일 마감일 이전에 청구를 제출할 것을 촉구하고 있습니다.
자격을 갖추기 위해 사용자는 “CoW.Fi 도메인 해킹 사건에 대한 재량 보조금 청구“라는 제목의 이메일을 보내야 하며, 영향을 받은 지갑 주소, 유출된 자산 및 금액 목록, 관련 거래 해시, 청구자의 이름을 포함해야 합니다. 지원 직원이 요청을 온체인 데이터와 일치시키면, 사용자는 자금이 해제되기 전에 KYC 검사를 포함할 수 있는 추가 단계에 대한 후속 이메일을 받게 됩니다.
CIP-86 일정은 모든 유효한 청구가 5월 14일까지 제출되고, 이후 몇 주 동안 검토되며, DAO 재무 및 검증 결과에 따라 5월 31일까지 환급될 것으로 예상하고 있습니다.
DeFi 프로토콜의 대응 사례 연구
CoW DAO에게 이번 사건은 DeFi 프로토콜이 오프체인 공급망 공격에 어떻게 대응할 수 있는지를 보여주는 사례 연구가 되었습니다: 도메인 수준의 보안을 중요한 인프라로 간주하고, 프로토콜 무결성을 웹 계층의 공격으로부터 분리하며, 거버넌스를 사용하여 자발적이고 시간 제한이 있는 보상을 승인하는 방식으로 역사적 사실을 온체인에서 수정하지 않고 처리하는 것입니다.
