CoW DAO Phê Duyệt CIP-86
CoW DAO đã phê duyệt CIP-86 nhằm cung cấp các khoản trợ cấp tùy ý lên đến 100% cho các nạn nhân của vụ đánh cắp tên miền cow.fi vào tháng 4. Các yêu cầu chi tiết phải được nộp trước ngày 14 tháng 5, và các khoản thanh toán dự kiến sẽ được thực hiện vào ngày 31 tháng 5. Quyết định này được đưa ra sau cuộc bỏ phiếu của cộng đồng về đề xuất quản trị CIP-86, thiết lập một chương trình trợ cấp tùy ý để hoàn trả tổn thất cho những người dùng đã bị lừa đảo trong khi nhà đăng ký tên miền của dự án đang nằm dưới sự kiểm soát của kẻ tấn công.
Sự Cố Đánh Cắp Tên Miền
Theo đề xuất CIP-86 và báo cáo hậu sự cố của DAO, sự cố xảy ra vào ngày 14 tháng 4 năm 2026, khi nhà đăng ký tên miền .fi của CoW Swap, Gandi SAS, bị xâm phạm trong một cuộc tấn công kỹ thuật xã hội. Kẻ tấn công đã khai thác quyền kiểm soát của nhà đăng ký đối với các bản ghi DNS được sử dụng bởi các máy chủ AWS Route 53 của CoW Swap, tạm thời chiếm quyền kiểm soát tên miền cow.fi trong khoảng 4,5 giờ và chuyển hướng người dùng đến một trang web lừa đảo giả mạo giao diện thực.
Trong khoảng thời gian đó, những người dùng truy cập vào tên miền bị đánh cắp đã bị phục vụ một giao diện giao dịch giả và bị lừa ký vào các giao dịch độc hại, dẫn đến việc các token bị rút khỏi ví của họ.
Thông Tin Về Tổn Thất
CoW DAO đã nhiều lần nhấn mạnh rằng các hợp đồng thông minh của CoW Protocol và cơ sở hạ tầng backend chưa bao giờ bị xâm phạm, và rằng lỗ hổng hoàn toàn nằm ở lớp nhà đăng ký tên miền chứ không phải trong mã giao thức. Một báo cáo sự cố của KuCoin ước tính tổn thất của người dùng vào khoảng 1,2 triệu USD trong USDC và các tài sản khác, con số này cũng được nhiều phân tích tiếp theo xác nhận.
Chương Trình Trợ Cấp Tùy Ý
Để giải quyết những tổn thất đó, cộng đồng của CoW DAO đã phê duyệt CIP-86, thiết lập một chương trình trợ cấp tùy ý một lần được tài trợ từ Quỹ Bảo vệ Pháp lý của DAO. Theo kế hoạch, các nạn nhân đủ điều kiện có thể nhận bồi thường lên đến 100% cho các tổn thất đã được xác minh, nhưng DAO nhấn mạnh rằng các khoản thanh toán là các khoản trợ cấp “tùy ý” mang tính thiện chí và không cấu thành sự thừa nhận trách nhiệm pháp lý.
Đề xuất cũng trao quyền cho đội ngũ cốt lõi theo đuổi hành động pháp lý chống lại các bên thứ ba khi cần thiết, bao gồm các thực thể liên quan đến cuộc tấn công chuỗi cung ứng của nhà đăng ký.
Tiêu Chí và Quy Trình Nộp Yêu Cầu
CIP-86 đưa ra các tiêu chí nghiêm ngặt cho các khoản trợ cấp cứu trợ. Những người yêu cầu phải có tương tác với hợp đồng độc hại trong khoảng thời gian bị đánh cắp, chứng minh lịch sử sử dụng CoW Swap trước cuộc tấn công, và cung cấp đủ bằng chứng trên chuỗi để liên kết tổn thất của họ với sự cố lừa đảo thay vì các trò lừa đảo không liên quan.
Một tóm tắt do Binance tổ chức lưu ý rằng các yêu cầu sẽ được xử lý như “các khoản trợ cấp tùy ý” thay vì hoàn trả tự động, với quy trình xác minh so sánh dữ liệu đã nộp với các bản ghi trên chuỗi trước khi bất kỳ khoản thanh toán nào được ủy quyền.
Thời Gian Biểu và Hướng Dẫn Nộp Yêu Cầu
CoW DAO và các kênh hệ sinh thái của nó hiện đang kêu gọi người dùng bị ảnh hưởng nộp yêu cầu trước thời hạn ngày 14 tháng 5. Để đủ điều kiện, người dùng phải gửi email với tiêu đề “Yêu cầu Trợ cấp Tùy ý cho Sự cố Đánh cắp Tên miền CoW.Fi,” bao gồm địa chỉ ví bị ảnh hưởng, danh sách các tài sản và số lượng đã bị rút, các hash giao dịch liên quan, và tên của người yêu cầu.
Khi nhân viên hỗ trợ khớp yêu cầu với dữ liệu trên chuỗi, người dùng sẽ nhận được một email theo dõi phác thảo bất kỳ bước bổ sung nào, có thể bao gồm kiểm tra KYC trước khi các quỹ được phát hành.
Thời gian biểu CIP-86 dự kiến rằng tất cả các yêu cầu hợp lệ sẽ được nộp trước ngày 14 tháng 5, được xem xét trong những tuần tiếp theo, và được hoàn trả trước ngày 31 tháng 5, tùy thuộc vào kết quả từ kho bạc DAO và xác minh.
Đối với CoW DAO, sự cố này đã trở thành một nghiên cứu điển hình về cách các giao thức DeFi có thể phản ứng với các cuộc tấn công chuỗi cung ứng ngoài chuỗi: bằng cách coi an ninh cấp tên miền là cơ sở hạ tầng quan trọng, tách biệt tính toàn vẹn của giao thức khỏi các cuộc tấn công ở lớp web, và sử dụng quản trị để ủy quyền bồi thường tự nguyện, có thời hạn mà không cần viết lại lịch sử trên chuỗi.
