CoW DAO, Nisan Ayı Saldırısı Mağdurlarına Tazminat Sağlamak İçin CIP‑86'yı Onayladı

CoW DAO, Nisan ayındaki cow.fi alan adı kaçırma olayının mağdurları için bir tazminat planı onayladı ve etkilenen kullanıcılardan 14 Mayıs'a kadar başvuru yapmalarını istiyor. Karar, projenin alan adı kayıt şirketinin saldırgan kontrolü altındayken dolandırılan kullanıcıların zararlarının %100'e kadar tazmin edilmesini sağlayan bir takdir yetkisi hibeleri programı oluşturan yönetişim teklifi CIP‑86 üzerindeki bir topluluk oylamasının ardından geldi.

CIP‑86'ya ve DAO'nun olay sonrası incelemesine göre, olay 14 Nisan 2024'te CoW Swap'ın .fi alan adı kayıt şirketi Gandi SAS'ın bir sosyal mühendislik saldırısında uzlaşmasıyla gerçekleşti. Saldırganlar, CoW Swap'ın AWS Route 53 sunucuları tarafından kullanılan DNS kayıtları üzerindeki kayıt şirketinin kontrollerinden yararlandı ve yaklaşık 4,5 saat boyunca cow.fi alan adını ele geçirerek kullanıcıları gerçek arayüzü taklit eden bir kimlik avı web sitesine yönlendirdi.

Bu süre zarfında, kaçırılan alan adını ziyaret eden kullanıcılara sahte bir ticaret arayüzü sunuldu ve cüzdanlarından tokenleri boşaltan kötü niyetli işlemleri imzalamaları için kandırıldılar. CoW DAO, CoW Protocol'ün akıllı sözleşmelerine ve arka uç altyapısına asla sızılmadığını ve açığın "tamamen alan adı kayıt şirketi katmanında, protokol kodunda değil" olduğunu defalarca vurguladı. Bir KuCoin olay raporu, kullanıcı kayıplarını kabaca 1,2 milyon $ USDC ve diğer varlıklarda tahmin ederken, bu rakam birden fazla takip analizinde yankılandı.

Bu kayıpları gidermek için, CoW DAO topluluğu, DAO'nun Yasal Savunma Rezervinden finanse edilen tek seferlik bir takdir yetkisi hibeleri programı oluşturan CIP‑86'yı onayladı. Plan kapsamında, uygun mağdurlar, doğrulanmış kayıplar için %100'e kadar tazminat alabilirler, ancak DAO, ödemelerin gönüllü "iyi niyet" hibeleri olduğunu ve yasal bir sorumluluğun kabulü anlamına gelmediğini vurgulamaktadır. Teklif aynı zamanda çekirdek ekibe, kayıt şirketi tedarik zinciri saldırısına dahil olanlar da dahil olmak üzere, gerektiğinde üçüncü taraflara karşı yasal işlem yapma yetkisi vermektedir.

CIP‑86, yardım hibeleri için katı kriterler ortaya koymaktadır. Başvuru sahipleri, kaçırma penceresi sırasında kötü niyetli sözleşmeyle etkileşimde bulunmuş, saldırıdan önce CoW Swap kullandıklarını kanıtlamış ve kayıplarını, ilgisiz dolandırıcılıklar yerine kimlik avı olayıyla ilişkilendirmek için yeterli zincir içi kanıt sunmalıdır. Binance tarafından barındırılan bir özet, taleplerin otomatik geri ödemeler yerine "takdir yetkisine bağlı hibeler" olarak işleneceğini, doğrulama sürecinde gönderilen verilerin ödeme yetkilendirilmeden önce zincir içi kayıtlarla karşılaştırılacağını belirtiyor.

CoW DAO ve ekosistem kanalları şimdi etkilenen kullanıcıları 14 Mayıs son tarihinden önce başvuru yapmaya çağırıyor. Hak kazanmak için, kullanıcıların "CoW.Fi Alan Adı Kaçırma Olayı için Takdir Yetkisi Hibesi Talebi" konu satırıyla birlikte etkilenen cüzdan adresini, boşaltılan varlıkların ve miktarlarının bir listesini, ilgili işlem karmalarını ve başvuru sahibinin adını içeren bir e-postayı [email protected] adresine göndermeleri gerekmektedir. Destek personeli talebi zincir içi verilerle eşleştirdikten sonra, kullanıcılar, fonlar serbest bırakılmadan önce KYC kontrollerini içerebilecek ek adımları özetleyen bir takip e-postası alacaklardır.

CIP‑86 zaman çizelgesi, 14 Mayıs'a kadar tüm geçerli taleplerin gönderilmesini, sonraki haftalarda incelenmesini ve DAO hazinesi ve doğrulama sonuçlarına bağlı olarak 31 Mayıs'a kadar geri ödenmesini öngörmektedir. CoW DAO için, bölüm, DeFi protokollerinin zincir dışı tedarik zinciri saldırılarına nasıl yanıt verebileceği konusunda bir vaka çalışması haline geldi: alan düzeyi güvenliğini kritik altyapı olarak değerlendirerek, protokol bütünlüğünü web katmanı istismarlarından ayırarak ve zincir üzerinde tarihi yeniden yazmadan gönüllü, zaman sınırlamalı tazminatı yetkilendirmek için yönetişimi kullanarak.