CoW DAO approuve une compensation pour les victimes du piratage de cow.fi, réclamations à soumettre avant le 14 mai

CoW DAO a approuvé le CIP‑86 pour offrir des subventions discrétionnaires allant jusqu'à 100 % aux victimes du détournement d'adresse du domaine cow.fi en avril, avec des réclamations détaillées à soumettre avant le 14 mai et des paiements ciblés pour le 31 mai.

CoW DAO a formellement approuvé un plan de compensation pour les utilisateurs victimes du détournement d'adresse du domaine cow.fi en avril et demande désormais aux utilisateurs concernés de déposer leurs réclamations avant le 14 mai. Cette décision fait suite à un vote communautaire sur la proposition de gouvernance CIP‑86, qui établit un programme de subventions discrétionnaires pour rembourser les pertes allant jusqu'à 100 % pour les utilisateurs qui ont été victimes d'hameçonnage alors que le bureau d'enregistrement du domaine du projet était sous le contrôle d'un attaquant.

Ingénierie sociale au niveau du bureau d'enregistrement

Selon la proposition CIP‑86 et le post‑mortem de l'Organisation Autonome Décentralisée (DAO), l'incident s'est produit le 14 avril 2026, lorsque le bureau d'enregistrement du domaine .fi de CoW Swap, Gandi SAS, a été compromis lors d'une attaque par ingénierie sociale. Les attaquants ont exploité les contrôles du bureau d'enregistrement sur les enregistrements DNS utilisés par les serveurs AWS Route 53 de CoW Swap, prenant brièvement le contrôle du domaine cow.fi pendant environ 4,5 heures et redirigeant les utilisateurs vers un site d'hameçonnage imitant la véritable interface.

Durant cette période, les utilisateurs qui ont visité le domaine détourné se sont vu présenter une fausse interface de trading et ont été amenés à signer des transactions malveillantes, qui ont vidé les tokens de leurs portefeuilles. CoW DAO a répété à plusieurs reprises que les Smart Contracts (Contrats Intelligents) et l'infrastructure backend de CoW Protocol n'ont jamais été compromis, et que la vulnérabilité se situait « entièrement au niveau du bureau d'enregistrement de domaine plutôt que dans le code du protocole. » Un rapport d'incident de KuCoin a estimé les pertes des utilisateurs à environ 1,2 million de dollars en USDC et autres actifs, un chiffre repris par de multiples analyses ultérieures.

CIP‑86 : subventions discrétionnaires et critères stricts

Pour remédier à ces pertes, la communauté de CoW DAO a approuvé le CIP‑86, qui met en place un programme de subventions discrétionnaires unique financé par la Réserve de Défense Juridique de l'Organisation Autonome Décentralisée (DAO). Dans le cadre de ce plan, les victimes éligibles peuvent recevoir jusqu'à 100 % de compensation pour les pertes vérifiées, mais l'Organisation Autonome Décentralisée (DAO) souligne que les paiements sont des subventions volontaires de « bonne volonté » et ne constituent pas une admission de responsabilité légale. La proposition donne également à l'équipe principale le mandat d'engager des poursuites judiciaires contre des parties tierces si nécessaire, y compris les entités impliquées dans l'attaque de la chaîne d'approvisionnement du bureau d'enregistrement.

Le CIP‑86 définit des critères stricts pour les subventions de secours. Les demandeurs doivent avoir interagi avec le contrat malveillant pendant la période de détournement d'adresse, démontrer un historique d'utilisation de CoW Swap avant l'attaque, et fournir des preuves on‑chain suffisantes pour relier leurs pertes à l'incident d'hameçonnage plutôt qu'à des escroqueries en ligne sans rapport. Un résumé hébergé par Binance note que les réclamations seront traitées comme des « subventions discrétionnaires » plutôt que comme des remboursements automatiques, le processus de vérification comparant les données soumises aux données on‑chain avant qu'un paiement soit autorisé.

Processus de réclamation et délai du 14 mai

CoW DAO et ses canaux écosystémiques incitent désormais les utilisateurs concernés à déposer leurs réclamations avant la date limite du 14 mai. Pour être éligibles, les utilisateurs doivent envoyer un e-mail à [email protected] avec pour objet « Discretionary Grant Claim for CoW.Fi Domain Hijack Incident », en incluant l'adresse de portefeuille concernée, une liste des actifs et des montants vidés, les hachages de transactions pertinents et le nom du demandeur. Une fois que le personnel d'assistance aura mis en correspondance la demande avec les données on‑chain, les utilisateurs recevront un e-mail de suivi décrivant les étapes supplémentaires éventuelles, qui peuvent inclure une vérification d'identité (KYC) avant que les fonds ne soient libérés.

Le calendrier du CIP‑86 prévoit que toutes les réclamations valides seront soumises avant le 14 mai, examinées au cours des semaines suivantes, et remboursées avant le 31 mai, sous réserve de la trésorerie de l'Organisation Autonome Décentralisée (DAO) et des résultats de vérification. Pour CoW DAO, cet épisode est devenu une étude de cas sur la manière dont les protocoles DeFi / Finance Décentralisée peuvent répondre aux attaques de la chaîne d'approvisionnement off‑chain : en traitant la sécurité au niveau du domaine comme une infrastructure critique, en séparant l'intégrité du protocole des exploits de la couche web, et en utilisant la gouvernance pour autoriser une compensation volontaire et limitée dans le temps sans réécrire l'historique on‑chain.