کاو DAO جبران خسارت برای قربانیان هک cow.fi را تأیید کرد، مهلت ثبت ادعا تا ۱۴ مه

CoW DAO پیشنهاد CIP‑86 را تصویب کرد تا به قربانیان حملات آدرس ربایی دامنه cow.fi در آوریل، کمک‌هزینه‌های اختیاری تا ۱۰۰٪ ارائه دهد؛ با مهلت ارسال غرامت تا ۱۴ مه و پرداخت هدفمند تا ۳۱ مه.

CoW DAO به طور رسمی یک طرح جبران خسارت کاربری برای قربانیان حملات آدرس ربایی دامنه cow.fi در آوریل تصویب کرده و اکنون از کاربران آسیب‌دیده می‌خواهد تا غرامت خود را تا ۱۴ مه ثبت کنند. این تصمیم پس از رأی‌گیری جامعه بر روی پیشنهاد حاکمیتی CIP‑86 صورت گرفته است که یک برنامه کمک‌هزینه اختیاری برای جبران خسارات تا ۱۰۰٪ برای کاربرانی که در زمان تحت کنترل بودن رجیسترار دامنه پروژه توسط مهاجمان، مورد فیشینگ قرار گرفتند، ایجاد می‌کند.

مهندسی اجتماعی در لایه رجیسترار

بر اساس پیشنهاد CIP‑86 و گزارش پس از حادثه سازمان غیر متمرکز خودگردان (DAO)، این رویداد در ۱۴ آوریل ۲۰۲۶ رخ داد، زمانی که رجیسترار دامنه .fi مربوط به CoW Swap، یعنی Gandi SAS، در یک حمله مهندسی اجتماعی به خطر افتاد. مهاجمان از کنترل رجیسترار بر رکوردهای DNS مورد استفاده توسط سرورهای AWS Route 53 متعلق به CoW Swap سوءاستفاده کردند و برای مدت تقریباً ۴.۵ ساعت دامنه cow.fi را در اختیار گرفتند و کاربران را به یک وب‌سایت فیشینگ که رابط واقعی را تقلید می‌کرد، هدایت نمودند.

در طول این بازه، کاربرانی که از دامنه ربوده‌شده بازدید کردند با یک رابط کاربری معاملاتی جعلی مواجه شدند و فریب خوردند تا تراکنش‌های مخرب را امضا کنند که توکن‌ها را از کیف پول‌هایشان تخلیه می‌کرد. CoW DAO بارها تأکید کرده که قراردادهای هوشمند و زیرساخت بک‌اند CoW Protocol هرگز نقض نشده‌اند و آسیب‌پذیری «کاملاً در لایه رجیسترار دامنه بوده و نه در کد پروتکل.» گزارش رویداد KuCoin تخمین زد که خسارات کاربران حدود ۱.۲ میلیون دلار در USDC و سایر دارایی‌ها بوده است، رقمی که در چندین تحلیل پیگیری بعدی نیز تکرار شد.

CIP‑86: کمک‌هزینه‌های اختیاری و معیارهای مشارکت سختگیرانه

برای رسیدگی به این خسارات، جامعه CoW DAO پیشنهاد CIP‑86 را تصویب کرد که یک برنامه کمک‌هزینه اختیاری یک‌باره با تأمین مالی از ذخیره دفاع حقوقی سازمان غیر متمرکز خودگردان (DAO) راه‌اندازی می‌کند. بر اساس این طرح، قربانیان واجد شرایط می‌توانند تا ۱۰۰٪ جبران خسارت برای زیان‌های تأییدشده دریافت کنند، اما سازمان غیر متمرکز خودگردان (DAO) تأکید می‌کند که پرداخت‌ها کمک‌هزینه‌های داوطلبانه «حسن نیت» هستند و اقرار به مسئولیت حقوقی محسوب نمی‌شوند. این پیشنهاد همچنین به تیم اصلی مأموریت می‌دهد که در صورت لزوم علیه اشخاص ثالث، از جمله نهادهای دخیل در حمله زنجیره تأمین رجیسترار، اقدام حقوقی انجام دهد.

CIP‑86 معیارهای مشارکت سختگیرانه‌ای برای کمک‌هزینه‌های تسکین تعیین می‌کند. متقاضیان باید در طول بازه ربایش با قرارداد مخرب تعامل داشته باشند، سابقه استفاده از CoW Swap پیش از حمله را نشان دهند و شواهد کافی درون زنجیره ای ارائه دهند تا خسارات خود را به رویداد فیشینگ و نه کلاهبرداری‌های نامرتبط مرتبط سازند. خلاصه‌ای که بایننس میزبانی می‌کند خاطرنشان می‌سازد که غرامت‌ها به عنوان «کمک‌هزینه‌های اختیاری» و نه بازپرداخت خودکار پردازش می‌شوند و فرآیند تأیید داده‌های ارسال‌شده را با رکوردهای درون زنجیره ای مقایسه می‌کند پیش از آنکه هرگونه پرداختی مجاز شود.

فرآیند ثبت غرامت و مهلت ۱۴ مه

CoW DAO و کانال‌های اکوسیستم آن اکنون از کاربران آسیب‌دیده می‌خواهند که پیش از مهلت ۱۴ مه غرامت خود را ثبت کنند. برای واجد شرایط بودن، کاربران باید با موضوع «Discretionary Grant Claim for CoW.Fi Domain Hijack Incident» ایمیلی به [email protected] ارسال کنند که شامل آدرس کیف پول آسیب‌دیده، فهرست دارایی‌ها و مقادیر تخلیه‌شده، هش‌های تراکنش مرتبط و نام متقاضی باشد. پس از اینکه کارکنان پشتیبانی درخواست را با داده‌های درون زنجیره ای تطبیق دادند، کاربران یک ایمیل پیگیری دریافت خواهند کرد که مراحل اضافی را توضیح می‌دهد، که ممکن است شامل تاییدیه مشتری خودت را بشناس پیش از آزادسازی وجوه باشد.

جدول زمانی CIP‑86 پیش‌بینی می‌کند که تمام غرامت‌های معتبر تا ۱۴ مه ارسال شوند، در هفته‌های بعد بررسی شوند و تا ۳۱ مه بازپرداخت شوند، با توجه به خزانه سازمان غیر متمرکز خودگردان (DAO) و نتایج تأیید. برای CoW DAO، این رویداد به یک مطالعه موردی تبدیل شده است که نشان می‌دهد پروتکل‌های امور مالی غیر متمرکز با نام اختصاری دیفای چگونه می‌توانند به حملات زنجیره تأمین آف چین پاسخ دهند: با در نظر گرفتن امنیت در سطح دامنه به عنوان زیرساخت حیاتی، جداسازی یکپارچگی پروتکل از سوءاستفاده‌های لایه وب، و استفاده از حاکمیت برای مجوز دادن به جبران خسارت داوطلبانه و زمان‌بندی‌شده بدون بازنویسی تاریخچه درون زنجیره.