CoW DAO mở quỹ bồi thường sau vụ hack chiếm quyền cow.fi

CoW DAO đã thông qua đề xuất CIP-86 nhằm bồi thường cho người dùng bị mất tài sản trong vụ chiếm quyền tên miền cow.fi ngày 14/04/2026. Theo thông tin từ diễn đàn quản trị của dự án, kẻ tấn công đã kiểm soát tên miền trong khoảng 4,5 giờ để chuyển hướng người dùng sang trang phishing, trong khi hợp đồng thông minh của CoW Protocol không bị xâm phạm.

Tóm tắt chính

• CoW DAO đã thông qua đề xuất CIP-86 để bồi thường cho người dùng bị ảnh hưởng trong vụ chiếm quyền tên miền cow.fi ngày 14/04/2026.
• Vụ việc kéo dài khoảng 4,5 giờ và nhắm vào tầng DNS/front-end thay vì hợp đồng thông minh của CoW Protocol.
• Người dùng đủ điều kiện cần gửi thông tin ví, tài sản bị mất và transaction hash trước hạn chót 14/05/2026.
• CoW DAO cho biết smart contract của giao thức không bị xâm phạm trong sự cố này.

CoW DAO phê duyệt quỹ bồi thường sau sự cố tấn công tên miền kéo dài 4,5 giờ

Diễn biến vụ tấn công ngày 14/04/2026

Vào ngày 14/04/2026, kẻ tấn công đã chiếm quyền kiểm soát nhà đăng ký tên miền của CoW DAO thông qua thủ thuật kỹ nghệ xã hội (social engineering). Trong khoảng 4,5 giờ, người dùng truy cập giao diện CoW Protocol bị chuyển hướng sang các trang web giả mạo. Hạ tầng hợp đồng thông minh cốt lõi của CoW Protocol không bị xâm phạm, nghĩa là thiệt hại chỉ xảy ra với những người đã tương tác trực tiếp với trang phishing trong khoảng thời gian đó. Đây là dạng tấn công nhắm vào lớp giao diện người dùng, không phải lớp giao thức, nhưng vẫn gây ra tổn thất thực tế cho một số ví.

Một số báo cáo theo dõi sau sự cố cho biết tổng thiệt hại của người dùng có thể vào khoảng 1,2 triệu USD, chủ yếu là USDC và các token ERC-20 khác. Tuy nhiên, đến thời điểm bài viết được xuất bản, CoW DAO chưa công bố con số thiệt hại cuối cùng đã được xác minh on-chain.

Đề xuất CIP-86 và quy trình nộp yêu cầu bồi thường

Sau vụ việc, cộng đồng CoW DAO đã thông qua đề xuất quản trị CIP-86 nhằm thiết lập chương trình bồi thường tự nguyện cho các nạn nhân của vụ chiếm quyền tên miền cow.fi. Theo nội dung được công bố trên diễn đàn quản trị CoW DAO, người dùng đủ điều kiện cần gửi yêu cầu trước ngày 14/05/2026, kèm thông tin ví, tài sản bị mất và mã giao dịch liên quan.

Người dùng muốn yêu cầu bồi thường cần chuẩn bị đầy đủ các thông tin sau:

• Địa chỉ ví bị ảnh hưởng
• Chi tiết tài sản đã mất
• Mã giao dịch (transaction hash) liên quan
• Tên người yêu cầu bồi thường

Những ai nghi ngờ mình đã tương tác với trang phishing trong khoảng thời gian xảy ra sự cố nên kiểm tra lịch sử giao dịch và đối chiếu với thông báo chính thức từ CoW DAO trước khi hạn nộp hồ sơ kết thúc. Để hiểu rõ hơn về cách nhận diện và phòng tránh các hình thức tấn công phishing trong lĩnh vực crypto, người dùng có thể tham khảo thêm tài liệu hướng dẫn chuyên biệt.

Vì sao người dùng vẫn mất tiền dù smart contract an toàn?

Hacker đã kiểm soát tầng tên miền thay vì smart contract

Vụ việc nhắm vào CoW DAO không xuất phát từ lỗ hổng trong mã nguồn giao thức hay hợp đồng thông minh. Thay vào đó, kẻ tấn công sử dụng kỹ thuật social engineering để xâm nhập vào nhà đăng ký tên miền, từ đó giành quyền kiểm soát địa chỉ cow.fi trong khoảng thời gian 4,5 giờ.

Đây là dạng tấn công ở tầng hạ tầng, khác hoàn toàn so với các vụ khai thác hợp đồng thông minh thường gặp trong lĩnh vực DeFi. Bản thân blockchain và logic giao dịch của CoW Swap không bị thay đổi, nhưng người dùng truy cập vào tên miền chính thức lại bị chuyển hướng đến trang web giả mạo mà không hay biết.

Trang web giả mạo hoạt động như thế nào

Các trang phishing được dựng lên để mô phỏng giao diện CoW Swap một cách chi tiết. Khi người dùng kết nối ví và thực hiện thao tác, họ thực chất đang ký vào các giao dịch độc hại hoặc cấp quyền token approval cho địa chỉ ví của kẻ tấn công.

Cơ chế này không cần phá vỡ bất kỳ lớp bảo mật nào của giao thức. Chỉ cần người dùng xác nhận giao dịch trên trang giả, tài sản trong ví có thể bị rút đi ngay lập tức thông qua các approval đã được cấp.

Sự kiện này cho thấy một rủi ro thường bị bỏ qua: ngay cả khi smart contract hoàn toàn an toàn, lớp hạ tầng DNS và tên miền vẫn có thể trở thành điểm yếu nghiêm trọng. Người dùng nên kiểm tra kỹ địa chỉ trang web trước mỗi lần kết nối ví, đồng thời theo dõi thông báo chính thức từ các dự án khi có dấu hiệu bất thường.

Tại sao bảo mật tên miền quan trọng với các nền tảng DeFi

Lỗ hổng hạ tầng trong tài chính phi tập trung

Sự cố tại CoW DAO cho thấy một thực tế đáng chú ý: dù hợp đồng thông minh được kiểm toán kỹ lưỡng, người dùng vẫn có thể chịu thiệt hại nếu tên miền hoặc bản ghi DNS của giao thức bị xâm phạm. Đây là hướng tấn công ngày càng phổ biến trong DeFi, vì nó không cần phá vỡ lớp bảo mật của giao thức mà chỉ cần kiểm soát điểm truy cập phía người dùng.

Khi giao diện người dùng (front-end) bị thay thế bởi phiên bản giả mạo, người dùng có thể vô tình phê duyệt các giao dịch rút token hoặc tương tác với hợp đồng độc hại mà không hay biết. Rủi ro này tồn tại độc lập với chất lượng mã nguồn của giao thức.

Các biện pháp phòng ngừa được nhắc đến trong bối cảnh này bao gồm:

• Kích hoạt bảo vệ tại nhà đăng ký tên miền, hạn chế thay đổi trái phép
• Triển khai DNSSEC để xác thực tính toàn vẹn của bản ghi DNS
• Người dùng tự xác minh địa chỉ hợp đồng trước khi phê duyệt giao dịch

Tiền lệ về quỹ bồi thường do DAO quản lý

Đề xuất CIP-86 đã được cộng đồng CoW DAO thông qua nhằm thiết lập chương trình bồi thường cho người dùng bị ảnh hưởng bởi vụ chiếm quyền tên miền cow.fi. Đây là trường hợp đáng chú ý khi một DAO sử dụng cơ chế quản trị cộng đồng để xử lý thiệt hại phát sinh từ tầng hạ tầng thay vì lỗi smart contract.

Điều kiện bồi thường và cách nộp hồ sơ theo CIP-86

Ai được xét bồi thường?

Chỉ những người dùng thực sự mất tài sản do phê duyệt giao dịch trên các trang web giả mạo trong khoảng thời gian 4,5 giờ xảy ra sự cố ngày 14/04/2026 mới đủ điều kiện nhận bồi thường. Những ai không tương tác với tên miền bị xâm phạm hoặc các trang phishing trong khoảng thời gian đó được xác nhận là không bị ảnh hưởng.

Quỹ bồi thường được lập trên cơ sở tự nguyện và phải tuân theo quyết định của DAO thông qua đề xuất CIP-86. Cơ cấu chi trả cụ thể, bao gồm mức bồi thường cho từng trường hợp, vẫn phụ thuộc vào kết quả quản trị của CoW DAO.

Hồ sơ cần chuẩn bị và cách gửi yêu cầu

Người dùng muốn nộp hồ sơ cần cung cấp đầy đủ các thông tin sau qua email trước hạn chót 14/05/2026:

• Địa chỉ ví liên quan đến giao dịch bị thiệt hại
• Thông tin chi tiết về tài sản đã mất
• Mã hash của giao dịch xảy ra trong cửa sổ tấn công
• Thông tin định danh cá nhân theo yêu cầu của CoW Protocol

Người dùng nên kiểm tra trực tiếp thông báo chính thức từ CoW DAO và diễn đàn quản trị để xác nhận địa chỉ email nhận hồ sơ cũng như các hướng dẫn cập nhật nhất, tránh trường hợp nộp sai kênh hoặc bỏ lỡ thời hạn.

Với những ai sử dụng ví crypto, việc thường xuyên rà soát và thu hồi các quyền phê duyệt token không còn cần thiết là thao tác quan trọng. Các công cụ như Revoke.cash hoặc Etherscan cho phép kiểm tra danh sách hợp đồng đã được cấp quyền truy cập vào ví. Để hiểu rõ hơn về cách quản lý quyền truy cập ví an toàn, bạn có thể tham khảo hướng dẫn bảo mật ví crypto để nắm thêm các bước cơ bản.

Bài viết chỉ nhằm mục đích cung cấp thông tin về sự cố bảo mật và chương trình bồi thường của CoW DAO, không phải khuyến nghị đầu tư hay giao dịch tài sản số. Thông tin trong bài được tổng hợp từ diễn đàn quản trị CoW DAO và các nguồn báo cáo công khai tại thời điểm xuất bản. Người dùng nên tự xác minh các thông báo mới nhất từ kênh chính thức của dự án trước khi gửi yêu cầu bồi thường hoặc thực hiện bất kỳ giao dịch nào. Thị trường crypto và các ứng dụng DeFi luôn tiềm ẩn rủi ro liên quan đến bảo mật hạ tầng, phishing và quyền truy cập ví. NIHONCASI không chịu trách nhiệm đối với các tổn thất phát sinh từ việc sử dụng thông tin trong bài viết.

Câu hỏi thường gặp (FAQ)