Basado en Cow Protocol, la plataforma agregadora DEX Cow Swap confirmó el 14 de abril que su frontend principal swap.cow.fi sufrió un secuestro DNS. El atacante redirigió el tráfico de los usuarios a un sitio falsificado mediante la manipulación de los registros de dominio y desplegó un programa de vaciado de carteras. Cow DAO suspendió de inmediato la API del protocolo y los servicios backend; los usuarios deben revocar las autorizaciones correspondientes de manera urgente.
Cronología completa del evento
UTC 14:54:Los registros DNS de swap.cow.fi fueron alterados; el atacante comenzó a dirigir el tráfico hacia una interfaz de transacciones falsificada
UTC 15:41:Cow DAO publicó un aviso público en la plataforma X, recomendando a los usuarios detener por completo la interacción con el sitio durante la investigación
UTC 16:24:La confirmación oficial del secuestro DNS; se indicó claramente que el backend del protocolo y la API en sí no fueron comprometidos, y que la suspensión del servicio es una medida preventiva
UTC 16:33:Cow DAO emitió instrucciones específicas, exigiendo que los usuarios que interactuaron con el frontend afectado después de la UTC 14:54 revocaran la autorización de inmediato
UTC 18:15:El equipo siguió monitoreando y pidió a los usuarios de transacciones sospechosas que presentaran los valores hash de las transacciones para su revisión
Al momento del reporte, el protocolo sigue suspendido. Cow DAO aún no ha anunciado una restauración completa del servicio ni ha publicado un informe completo de análisis posterior.
Mecanismo del ataque de secuestro DNS: por qué el frontend DeFi sigue siendo un punto de entrada de alto riesgo
El secuestro DNS no requiere la intrusión en el código de los contratos inteligentes; en su lugar, se dirige a la capa de infraestructura del dominio. El atacante modifica los registros DNS del dominio objetivo para redirigir el tráfico a un servidor falsificado y, luego, despliega en la interfaz falsificada un programa de vaciado de carteras (Wallet Drainer). Una vez que el usuario se conecta a la cartera o firma una autorización en la interfaz falsificada, el programa malicioso se activa y ejecuta transferencias automáticas.
Las entradas técnicas de este tipo de ataque normalmente no están en el código del protocolo, sino en la capa de gestión del proveedor del dominio: incluyendo ataques de ingeniería social contra el personal de atención al cliente, el uso de credenciales de autenticación multifactor filtradas (2FA), o la intrusión directa en la cuenta de administración del dominio. En los últimos meses, varios protocolos DeFi han sufrido ataques similares de DNS en el frontend.
Cow Protocol en sí es un protocolo no custodial y no mantiene ningún fondo de usuarios; este riesgo se limita a los usuarios que firman activamente transacciones en el frontend afectado. La comunidad ha reportado algunas transacciones sospechosas, pero hasta el momento no se ha confirmado la existencia de una extracción sistemática de fondos que afecte a todo el protocolo.
Lista de acciones inmediatas para los usuarios afectados
Si usted visitó swap.cow.fi o cow.fi después de la UTC 14:54 y se conectó a una cartera o firmó cualquier transacción, debe tomar inmediatamente los siguientes pasos:
Guía de acción urgente
Diríjase a revoke.cash:Revocar de inmediato todas las autorizaciones de contratos relacionadas otorgadas después de los puntos de tiempo mencionados
Verifique el historial de transacciones de la cartera:Compruebe si hubo alguna transferencia no autorizada o alguna acción inusual de autorización
Deje de acceder a los dominios relacionados:Antes de que Cow DAO confirme oficialmente que “el sitio es seguro y está disponible”, evite visitar swap.cow.fi y cow.fi
Enviar el hash de la transacción:Si detecta una transacción sospechosa, envíe el valor hash siguiendo la guía de Cow DAO para una revisión de seguridad
Preguntas frecuentes
¿Cómo ocurrió el secuestro DNS de Cow Protocol?
El atacante redirigió el tráfico legítimo de los usuarios al sitio falsificado que desplegó un programa de vaciado de carteras, mediante la alteración de los registros DNS de swap.cow.fi. Este tipo de ataque suele implementarse mediante ingeniería social contra el servicio de atención al cliente del proveedor de dominios, o utilizando credenciales filtradas de 2FA de la cuenta de administración de dominios, sin involucrar vulnerabilidades en la capa de contratos inteligentes del protocolo.
¿Este ataque afectó a los contratos inteligentes de Cow Protocol?
No. Cow DAO confirmó de forma explícita que los contratos inteligentes y la infraestructura on-chain no se vieron afectados en absoluto en este incidente. El backend del protocolo y la API tampoco fueron comprometidos; la suspensión del servicio es una medida preventiva puramente destinada a evitar que más usuarios accedan al frontend afectado durante la investigación.
¿Cómo puedo determinar si estoy afectado?
Si usted visitó swap.cow.fi o cow.fi después de la UTC 14:54 y se conectó a una cartera, o firmó cualquier transacción, existe un riesgo potencial. Vaya de inmediato a revoke.cash para revocar las autorizaciones y revise cuidadosamente el historial reciente de transacciones de su cartera. Manténgase atento a la cuenta oficial de X de Cow DAO y espere el anuncio formal de que el servicio se restableció de forma segura.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
La policía de Hong Kong desmantela una red fraudulenta transfronteriza que apuntaba a estudiantes en el extranjero, incautando activos por HK$5M
Mensaje de Gate News, 26 de abril — La policía de Hong Kong desmanteló una red fraudulenta transfronteriza que atacaba a estudiantes chinos en el extranjero que estudiaban en el exterior, según los medios locales. El grupo delictivo se hizo pasar por funcionarios encargados de hacer cumplir la ley y obligó a las víctimas a viajar a Hong Kong para comprar lingotes de oro como "c
GateNewsHace6m
La reorganización de Litecoin deshace el exploit de la capa de privacidad MWEB
Litecoin sufrió una profunda reorganización de cadena el sábado después de que los atacantes explotaran una vulnerabilidad de día cero en su capa de privacidad (MWEB) de la Extension Block de MimbleWimble, según la Litecoin Foundation. El incidente dio lugar a una reorganización de tres horas que borró transacciones inválidas de la
CryptoFrontierhace5h
Estafa de “Laptop Farm” de desarrolladores de TI de Corea del Norte: el cómplice estadounidense fue condenado a 7-9 años, acumuló 2,800 millones de dólares en dos años
Informe de Fortune: Corea del Norte, a través de granjas de portátiles dentro de Estados Unidos, obtuvo aproximadamente 2.800 millones de dólares de ingresos acumulados en dos años para apoyar armas nucleares; tributo anual de 250–600 millones de dólares. El sospechoso estadounidense Kejia Wang y Zhenxing Wang fueron condenados a 7,5 años y 9 años, respectivamente, por estar implicados en más de 100 empresas y 80 casos de suplantación de identidad. Corea del Norte opera en Estados Unidos mediante identidades estadounidenses y dispositivos fijos, y gran parte de los fondos se convierten en efectivo a través de criptomonedas. Los expertos advierten que la red de cómplices dentro del país aún existe; las empresas deben reforzar la verificación de identidad, el seguimiento de direcciones y el análisis de zona horaria/IP.
ChainNewsAbmediahace9h
La policía de Hong Kong advierte de un aumento de las estafas cripto; Dos mujeres pierden US$1,24M en las últimas semanas
Boletín de Gate News, 25 de abril — Dos mujeres de Hong Kong perdieron en total 9,7 millones de HK$ (US$1,24 millones) a estafadores de criptomonedas en las últimas semanas, lo que llevó a la policía local a emitir una advertencia pública. La policía de Hong Kong informó de más de 80 casos de fraude en una sola semana, con pérdidas totales que superan HK$80 millón (U
GateNewshace9h
Aave, Kelp, LayerZero Seek $71M ETH Lanzamiento para la recuperación de rsETH
Una coalición de importantes protocolos DeFi presentó un AIP Constitucional en el foro de Arbitrum el sábado por la mañana, solicitando que el DAO de la red libere aproximadamente $71 millones de ETH congelados en DeFi United, el esfuerzo de ayuda interprotocolos organizado tras el exploit de $292 millones del Kelp DAO de la semana pasada. Aave Labs es l
CryptoFrontierhace9h
Familias de malware para Android atacan aplicaciones bancarias y cripto de 800+ con tasas de detección casi nulas: Zimperium
Mensaje de Gate News, 25 de abril — La empresa de ciberseguridad Zimperium ha identificado cuatro familias activas de malware—RecruitRat, SaferRat, Astrinox y Massiv—dirigidas a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. Las campañas emplean técnicas avanzadas de evasión del análisis y
GateNewshace12h
