Inaprubahan ng CoW DAO ang CIP-86
Inaprubahan ng CoW DAO ang CIP-86 upang mag-alok ng discretionary grants na umabot sa 100% para sa mga biktima ng pag-hijack ng cow.fi domain noong Abril. Ang mga detalyadong claim ay dapat isumite bago ang Mayo 14, at ang mga pagbabayad ay target na maibigay bago ang Mayo 31.
Background ng Insidente
Formal na inaprubahan ng CoW DAO ang isang plano para sa kompensasyon ng mga gumagamit na biktima ng pag-hijack ng cow.fi domain noong Abril at ngayon ay humihiling sa mga apektadong gumagamit na magsumite ng mga claim bago ang Mayo 14. Ang desisyon ay nagmula sa isang boto ng komunidad sa governance proposal na CIP-86, na nagtataguyod ng isang discretionary grants program upang mabawi ang mga pagkalugi na umabot sa 100% para sa mga gumagamit na na-phish habang ang domain registrar ng proyekto ay nasa ilalim ng kontrol ng mga umaatake.
Ayon sa CIP-86 proposal at sa post-mortem ng DAO, ang insidente ay naganap noong Abril 14, 2026, nang ang .fi domain registrar ng CoW Swap, Gandi SAS, ay nakompromiso sa isang social engineering attack. Ginamit ng mga umaatake ang kontrol ng registrar sa mga DNS record na ginamit ng AWS Route 53 servers ng CoW Swap, pansamantalang kinuha ang cow.fi domain sa loob ng humigit-kumulang 4.5 na oras at iniredirekta ang mga gumagamit sa isang phishing website na ginaya ang tunay na interface.
Mga Epekto ng Insidente
Sa panahong iyon, ang mga gumagamit na bumisita sa hijacked domain ay nakatanggap ng pekeng trading UI at naloko na pumirma ng mga mapanlinlang na transaksyon, na nag-alis ng mga token mula sa kanilang mga wallet. Paulit-ulit na binigyang-diin ng CoW DAO na ang mga smart contracts at backend infrastructure ng CoW Protocol ay hindi kailanman nakompromiso, at ang kahinaan ay “buong-buo sa antas ng domain registrar sa halip na sa protocol code.”
Isang ulat ng insidente mula sa KuCoin ang nag-estima ng mga pagkalugi ng gumagamit na humigit-kumulang $1.2 milyon sa USDC at iba pang mga asset, isang figure na inulit ng maraming follow-up analyses.
Pag-apruba ng CIP-86
Upang matugunan ang mga pagkaluging iyon, inaprubahan ng komunidad ng CoW DAO ang CIP-86, na nagtatatag ng isang one-time discretionary grants program na pinondohan mula sa Legal Defense Reserve ng DAO. Sa ilalim ng plano, ang mga karapat-dapat na biktima ay maaaring makatanggap ng hanggang 100% na kompensasyon para sa mga napatunayang pagkalugi, ngunit binibigyang-diin ng DAO na ang mga pagbabayad ay boluntaryong “goodwill” grants at hindi bumubuo ng pagtanggap ng legal na pananagutan.
Ang proposal ay nagbibigay din sa core team ng mandato na magsagawa ng legal na aksyon laban sa mga ikatlong partido kung kinakailangan, kabilang ang mga entidad na kasangkot sa pag-atake sa supply-chain ng registrar.
Mga Pamantayan para sa Relief Grants
Ang CIP-86 ay naglalahad ng mahigpit na mga pamantayan para sa mga relief grants. Ang mga claimants ay dapat na nakipag-ugnayan sa mapanlinlang na kontrata sa panahon ng hijack window, ipakita ang kasaysayan ng paggamit ng CoW Swap bago ang pag-atake, at magbigay ng sapat na on-chain na ebidensya upang iugnay ang kanilang mga pagkalugi sa insidente ng phishing sa halip na sa mga hindi kaugnay na scam.
Isang buod na in-host ng Binance ang nagtala na ang mga claim ay iproseso bilang “discretionary grants” sa halip na awtomatikong mga reimbursement, na ang proseso ng beripikasyon ay ikukumpara ang mga isinumiteng data sa on-chain na mga tala bago pahintulutan ang anumang pagbabayad.
Deadline at Mga Hakbang para sa Pagsumite ng Claim
Ngayon, ang CoW DAO at ang mga ecosystem channels nito ay hinihimok ang mga apektadong gumagamit na magsumite ng mga claim bago ang Mayo 14 na deadline. Upang maging karapat-dapat, ang mga gumagamit ay dapat magpadala ng email sa [email address] na may subject line na “Discretionary Grant Claim for CoW.Fi Domain Hijack Incident,” na naglalaman ng apektadong wallet address, isang listahan ng mga asset at halaga na na-drain, mga kaugnay na transaction hashes, at pangalan ng claimant.
Kapag naitugma ng mga support staff ang kahilingan sa on-chain na data, makakatanggap ang mga gumagamit ng follow-up email na naglalarawan ng anumang karagdagang hakbang, na maaaring kabilang ang KYC checks bago ilabas ang mga pondo.
Inaasahang Timeline
Ang timeline ng CIP-86 ay inaasahang lahat ng wastong claim ay isusumite bago ang Mayo 14, susuriin sa mga susunod na linggo, at mababayaran bago ang Mayo 31, nakasalalay sa mga resulta ng treasury ng DAO at beripikasyon.
Konklusyon
Para sa CoW DAO, ang episode na ito ay naging isang case study kung paano maaaring tumugon ang mga DeFi protocol sa mga off-chain supply-chain attacks: sa pamamagitan ng pagtrato sa seguridad sa antas ng domain bilang kritikal na imprastruktura, paghihiwalay ng integridad ng protocol mula sa mga web-layer exploits, at paggamit ng governance upang pahintulutan ang boluntaryo, time-boxed na kompensasyon nang hindi nire-rewrite ang kasaysayan sa on-chain.
