CoW Swap suspend son protocole après la compromission de son site web

Updated 9 heures ago by Emmanuel Roux · 3 mins read

CoW Swap, l’agrégateur d’échanges décentralisés basé sur Ethereum, a suspendu son protocole le 14 avril 2026, après que des attaquants ont pris le contrôle du domaine de son site web et redirigé les utilisateurs vers un site malveillant conçu pour siphonner les approbations de portefeuilles.

Le chercheur en cybersécurité Vladimir S. estime qu’environ 500 000 USD d’actifs numériques ont été dérobés, au moins un utilisateur ayant signalé des pertes individuelles dépassant 50 000 USD.

Les contrats intelligents sous-jacents et les API backend du protocole ont été confirmés comme non affectés ; la surface d’attaque se limitait à la seule interface front-end.

Nous soupçonnons qu’il s’agit moins d’une faille spécifique à la posture de sécurité de CoW Swap que d’un signal structurel sur l’exposition persistante et sous-estimée du secteur DeFi aux attaques d’infrastructure de la couche UI — un vecteur de menace que les audits de contrats intelligents ne couvrent pas.

Compromission du front-end de CoW Swap : détournement de DNS, approbations malveillantes et confirmations du protocole

Le mécanisme fonctionne comme suit : les attaquants ont obtenu le contrôle administratif du domaine du site web de CoW Swap — l’adresse cow.fi vers laquelle les utilisateurs naviguent avant d’interagir avec le protocole — et ont redirigé ce domaine vers un site malveillant conçu pour imiter l’interface légitime.

Les utilisateurs ayant visité le site et signé des approbations de transactions durant la fenêtre suivant 14h54 UTC le 14 avril ont été exposés à des transferts de vidage de portefeuille, sans aucune indication au niveau du domaine que quelque chose d’anormal se produisait.

UPDATE: The swap dot cow dot fi domain is currently locked and not accessible. We are working with security experts to assert control over the domain while it is locked, but we *do not* expect it to be live again tonight.

For those who rely on CoW Swap daily, we have spun up a… https://t.co/gtoeMfxYEy

— CoW DAO (@CoWSwap) April 14, 2026

La société de sécurité blockchain Blockaid a détecté et signalé l’activité malveillante sur le domaine cow.fi, l’identifiant comme une attaque front-end capable de tromper les utilisateurs pour leur faire signer des transactions de drainage.

L’équipe de CoW Swap a confirmé la situation dans une déclaration publique : « Nous travaillons activement à la résolution de la situation. Le backend et les API du protocole CoW n’ont pas été impactés, mais nous les avons temporairement suspendus par mesure de précaution. »

MooKeeper, un membre pseudonyme de l’équipe CoW Swap, a précisé que l’ampleur des pertes fait l’objet d’une enquête active et qu’une évaluation plus complète suivra, ajoutant : « Nous avons la preuve qu’un petit nombre d’utilisateurs ont signé des approbations malveillantes pour de très petits montants. »

Cette caractérisation entre en contradiction avec l’estimation on-chain de Vladimir S., qui évalue à 500 000 USD les fonds drainés sur plusieurs adresses — un chiffre qui, selon certains rapports, pourrait approcher le million de dollars dans les trois heures suivant la divulgation de l’attaque, bien que ce chiffre plus élevé n’ait pas été confirmé de manière indépendante.

Il est nécessaire de souligner que plusieurs détails restent au stade de l’estimation : le montant total précis des fonds volés, l’identité des attaquants et la liste complète des portefeuilles affectés ne sont pas encore confirmés publiquement au moment de la rédaction.

The CoW Swap frontend is back up at https://t.co/428UojJIdq.

Make sure you only sign approvals to 0xc92e8bdf79f0507f65a392b0ab4667716bfe0110 (the original GPv2VaultRelayer contract) https://t.co/phQqIbzPAR

— Felix Leupold (@fleupold_) April 14, 2026

CoW DAO a conseillé à tous les utilisateurs de révoquer toute approbation accordée à CoW Swap après 14h54 UTC le 14 avril, recommandant l’utilisation d’outils tels que revoke.cash pour ce processus.

Martin Köppelmann, cofondateur et PDG du fournisseur d’infrastructure décentralisée Gnosis, a noté que l’exposition semble limitée aux utilisateurs ayant approuvé des interactions avec le protocole durant les quelques heures où le domaine compromis était actif.

De son côté, Aave a désactivé les points de terminaison CoW Swap pour ses intégrateurs par mesure de précaution, confirmant que sa propre interface et son protocole n’étaient pas affectés.

À EXPLORER : Meilleurs meme coins à surveiller – Classements mis à jour de CoinSpeaker