CoW Swap -protokollan DNS kaapattiin — DeFi:n käyttöliittymät haavoittuvia
Hajautettu kaupankäyntiprotokolla CoW Swap keskeytti toimintansa 14. huhtikuuta sen jälkeen, kun hyökkääjät kaappasivat protokollan DNS-asetukset ja ohjasivat käyttäjät kalastelusiivulle. Älysopimusten varat säilyivät turvassa, mutta tapaus korostaa hajautetun rahoituksen (DeFi) sovellusten kasvavaa käyttöliittymähaavoittuvuutta.
Mitä tapahtui
CoinSpeakerin mukaan hyökkäys havaittiin 14. huhtikuuta kello 14:54 UTC. Hyökkääjät muuttivat CoW Swap -verkkotunnuksen DNS-asetuksia siten, että käyttöliittymä ohjautui haitalliselle sivustolle, joka pyrki tyhjentämään käyttäjien lompakkoja varastamalla token-hyväksynnät.
CoW Swapin tiimi reagoi pysäyttämällä protokollan käyttöliittymän ja julkaisemalla varoituksen X-alustalla. Lainausprotokolla Aave katkaisi CoW Swapin integraatiot omista päätepisteitään varotoimena, CoinSpeakerin mukaan. Unchained-median toimittaja Laura Shin raportoi, että älysopimusten tasolla varat eivät olleet vaarassa — hyökkäys kohdistui ainoastaan web-käyttöliittymään.
Alustavien tietojen mukaan hyökkäys ei johtanut merkittäviin varojen menetyksiin, sillä monet lompakkosovellukset varoittivat käyttäjiä epäilyttävistä transaktioista ennen hyväksyntää.
Kasvava hyökkäysmalli
CoW Swap ei ole ensimmäinen DeFi-protokolla, jonka käyttöliittymä on kaapattu. Viimeisen kahden vuoden aikana vastaavia DNS- ja frontend-hyökkäyksiä on kohdistunut muun muassa Curveen, Balanceriin ja SushiSwapiin. CoinSpeakerin mukaan DNS-hyökkäykset ovat nousseet yhdeksi DeFi-sektorin yleisimmistä hyökkäysvektoreista vuonna 2026.
Malli on selkeä: älysopimusten turvallisuus on parantunut merkittävästi auditointien ja bugipalkintojen ansiosta, mutta web-käyttöliittymät tarjoavat hyökkääjille helpomman pääsyn käyttäjien varoihin. Hyökkäysvektori on erityisen vaarallinen, koska käyttäjä ei voi erottaa kaapattua sivustoa aidosta. Verkkotunnus näyttää oikealta, ja haitallinen sivu on visuaalisesti identtinen alkuperäisen kanssa.
DNS-kaappauksen uhka korostaa laajempaa ongelmaa: vaikka lohkoketjun (blockchain) tasolla hajautus toimii, käyttöliittymät nojaavat edelleen keskitettyihin järjestelmiin kuten DNS-palvelimiin, CDN-verkkoihin ja pilvipalveluntarjoajiin. Tämä luo yhden heikon pisteen, jota hyökkääjät voivat hyödyntää.
Miten suojautua
DeFi-käyttäjien kannattaa varmentaa protokollien viralliset osoitteet useasta lähteestä ennen lompakon yhdistämistä. Lompakkosovelluksen transaktioiden simulointitoiminto voi paljastaa epäilyttävät hyväksyntäpyynnöt. Kirjanmerkkien käyttö estää DNS-kaappausten ohjaamisen väärälle sivustolle. Edistyneet käyttäjät voivat myös hyödyntää suoraa älysopimuskutsua Etherscanin kautta, mikä ohittaa käyttöliittymän kokonaan.
Protokollien kehittäjät voivat parantaa tilannetta ottamalla käyttöön DNSSEC-suojauksen, ENS-pohjaisia (Ethereum Name Service) hajautettuja verkkotunnuksia tai sisältöhajautusten (content hash) tarkistuksia, jotka varmistavat käyttöliittymän eheyden automaattisesti.
Tapaus muistuttaa, että DeFi:n todellinen heikkous ei ole älysopimusten koodissa vaan perinteisessä internet-infrastruktuurissa, johon hajautetutkin sovellukset edelleen nojaavat.
