Un attacco del 14 aprile riporta l’attenzione sui rischi operativi nella DeFi: la frode CoW Swap ha causato perdite per 1,2 milioni, sfruttando una falla nella gestione del dominio senza compromettere il protocollo.
Summary
Il dirottamento del dominio ha portato a perdite per 1,2 milioni
L’exchange decentralizzato CoW Swap ha segnalato un grave incidente di sicurezza dopo un sofisticato attacco di phishing. Le perdite stimate ammontano a circa 1,2 milioni, in un caso che conferma come anche piattaforme consolidate restino esposte ai rischi del settore.
L’episodio si è verificato il 14 aprile e non ha colpito il protocollo principale. Gli aggressori hanno invece sfruttato una debolezza nel sistema di gestione del dominio, reindirizzando gli utenti verso un sito falso costruito per imitare l’interfaccia ufficiale.
Secondo il team, gli attaccanti hanno usato tecniche di social engineering per assumere per breve tempo il controllo del dominio. In questo modo, gli utenti venivano indirizzati a una pagina quasi identica a quella autentica, credendo di operare sull’interfaccia reale.
Come si e’ sviluppata la frode CoW Swap
Chi ha aperto il sito malevolo veniva invitato a collegare il wallet e ad approvare transazioni. Tuttavia, anche se il protocollo è rimasto sicuro, l’episodio ha generato perdite rilevanti per gli utenti. Il problema è stato risolto e sono state aggiunte ulteriori misure di protezione.
L’incidente arriva dopo il caso del protocollo Drift, che secondo le ricostruzioni avrebbe causato perdite tra 220 e 270 milioni. Inoltre, anche Aave è intervenuta precisando che il proprio sistema non è stato colpito.
Per ragioni di sicurezza, Aave ha sospeso temporaneamente l’accesso agli endpoint collegati all’integrazione con CoW Swap. Allo stesso tempo, ha rassicurato gli utenti sul fatto che i suoi sistemi centrali sono rimasti protetti.
La risposta del team e il ripristino del servizio
Dopo l’attacco al dominio, il team di CoW Swap ha reagito rapidamente per limitare i danni e riprendere il controllo. Il problema è stato individuato in pochi minuti e la risposta d’emergenza lo ha contenuto in circa 19 minuti.
Per proteggere gli utenti, il team ha trasferito temporaneamente le operazioni su un nuovo dominio mentre lavorava al ripristino di quello compromesso. Detto ciò, il gruppo ha precisato che sistemi core, smart contract e fondi degli utenti non sono mai stati violati direttamente.
L’attacco è stato collegato a un problema nella supply chain. In pratica, gli aggressori hanno usato il social engineering per prendere il controllo del dominio cow.fi e deviare il traffico verso un sito fraudolento.
Entro circa 26 ore, il dominio originario è stato completamente ripristinato con protezioni rafforzate, inclusi lock di sicurezza avanzati. Inoltre, il team ha avviato audit esterni, azioni legali contro i responsabili e sta valutando piani di compensazione per gli utenti colpiti.
Il post-mortem e lo stato attuale della piattaforma
Nel rapporto post-mortem, la piattaforma ha dichiarato che il sistema è di nuovo sicuro da usare. Il messaggio ufficiale afferma che swap.cow.fi è pienamente operativo, che il dominio è stato recuperato e riportato sull’account AWS, con registry lock attivo e servizi tornati alla normalità.
Inoltre, CoW Swap ha invitato gli utenti a usare nuovamente la piattaforma con fiducia. Il post aggiunge che l’episodio segue un modello gia’ documentato di hijack dei domini .fi ai danni di progetti crypto.
Nel complesso, la frode CoW Swap mostra come una vulnerabilità esterna al protocollo possa comunque generare danni elevati. Il caso riapre il tema della gestione dei domini, delle approvazioni via wallet e delle misure di risposta rapida nella DeFi.
