CoW DAO aprueba compensación para las víctimas del secuestro de cow.fi, reclamaciones antes del 14 de mayo

CoW DAO aprobó CIP‑86 para ofrecer subvenciones discrecionales de hasta el 100% a las víctimas del secuestro del dominio cow.fi de abril, con reclamos detallados antes del 14 de mayo y pagos previstos antes del 31 de mayo.

CoW DAO ha aprobado formalmente un plan de compensación para las víctimas del secuestro del dominio cow.fi de abril y ahora pide a los usuarios afectados que presenten reclamos antes del 14 de mayo. La decisión sigue a una votación comunitaria sobre la propuesta de gobernanza CIP‑86, que establece un programa de subvenciones discrecionales para reembolsar pérdidas de hasta el 100% a los usuarios que fueron víctimas de phishing mientras el registrador de dominio del proyecto estaba bajo el control de los atacantes.

Ingeniería social en la capa del registrador

Según la propuesta CIP‑86 y el análisis post-mortem de la DAO, el incidente ocurrió el 14 de abril de 2026, cuando el registrador del dominio .fi de CoW Swap, Gandi SAS, fue comprometido en un ataque de ingeniería social. Los atacantes explotaron los controles del registrador sobre los registros DNS utilizados por los servidores AWS Route 53 de CoW Swap, tomando brevemente el control del dominio cow.fi durante aproximadamente 4,5 horas y redirigiendo a los usuarios a un sitio web de phishing que imitaba la interfaz real.

Durante ese período, los usuarios que visitaron el dominio secuestrado recibieron una UI de trading falsa y fueron engañados para firmar transacciones maliciosas, que drenaron tokens de sus billeteras. CoW DAO ha subrayado repetidamente que los Smart Contracts e infraestructura backend de CoW Protocol nunca fueron vulnerados, y que la vulnerabilidad fue "enteramente en la capa del registrador de dominio y no en el código del protocolo". Un informe de incidente de KuCoin estimó las pérdidas de los usuarios en aproximadamente $1,2 millones en USDC y otros activos, cifra respaldada por múltiples análisis posteriores.

CIP‑86: subvenciones discrecionales y criterios estrictos

Para hacer frente a esas pérdidas, la comunidad de CoW DAO aprobó CIP‑86, que establece un programa único de subvenciones discrecionales financiado por la Reserva de Defensa Legal de la DAO. Bajo el plan, las víctimas elegibles pueden recibir hasta el 100% de compensación por pérdidas verificadas, pero la DAO enfatiza que los pagos son subvenciones voluntarias de "buena voluntad" y no constituyen un reconocimiento de responsabilidad legal. La propuesta también otorga al equipo central un mandato para emprender acciones legales contra terceros cuando sea necesario, incluidas las entidades involucradas en el ataque a la cadena de suministro del registrador.

CIP‑86 establece criterios estrictos para las subvenciones de alivio. Los reclamantes deben haber interactuado con el contrato malicioso durante el período de secuestro, demostrar un historial de uso de CoW Swap previo al ataque y proporcionar evidencia suficiente en cadena para vincular sus pérdidas al incidente de phishing en lugar de estafas no relacionadas. Un resumen alojado en Binance señala que los reclamos serán procesados como "subvenciones discrecionales" en lugar de reembolsos automáticos, con el proceso de verificación comparando los datos enviados con los registros en cadena antes de que se autorice cualquier pago.

Proceso de reclamo y plazo del 14 de mayo

CoW DAO y sus canales del ecosistema están instando a los usuarios afectados a presentar reclamos antes del límite del 14 de mayo. Para calificar, los usuarios deben enviar un correo electrónico a [email protected] con el asunto "Discretionary Grant Claim for CoW.Fi Domain Hijack Incident", incluyendo la dirección de billetera afectada, una lista de activos y montos drenados, los hashes de transacciones relevantes y el nombre del reclamante. Una vez que el personal de soporte coteje la solicitud con los datos en cadena, los usuarios recibirán un correo electrónico de seguimiento con los pasos adicionales, que pueden incluir verificaciones KYC antes de que se liberen los fondos.

El cronograma de CIP‑86 prevé que todos los reclamos válidos sean enviados antes del 14 de mayo, revisados durante las semanas siguientes y reembolsados antes del 31 de mayo, sujeto a los resultados de la tesorería de la DAO y la verificación. Para CoW DAO, el episodio se ha convertido en un caso de estudio sobre cómo los protocolos DeFi pueden responder a ataques de cadena de suministro off-chain: tratando la seguridad a nivel de dominio como infraestructura crítica, separando la integridad del protocolo de los exploits a nivel web y usando la gobernanza para autorizar compensaciones voluntarias y acotadas en el tiempo sin reescribir el historial en cadena.