Segundo a BlockBeats, em 17 de abril, um relatório oficial sobre o ataque ao CoW Swap afirmou que seu domínio, cow.fi, sofreu um ataque à cadeia de suprimentos em 14 de abril de 2026. Os atacantes usaram técnicas de engenharia social para comprometer o processo de registro do domínio .fi e sequestrar a resolução de DNS, fazendo com que os usuários que acessassem swap.cow.fi fossem redirecionados para sites de phishing em poucas horas. Durante o período afetado, os atacantes implantaram uma interface de transação falsa e tentaram enganar os usuários para que conectassem suas carteiras e assinassem transações maliciosas.

O relatório indica que o incidente não afetou a segurança dos contratos on-chain do Protocolo CoW, dos sistemas de backend ou dos fundos dos usuários; a infraestrutura e os serviços principais, como AWS/Vercel, permaneceram intactos. O ataque ocorreu durante o processo de registro e transferência do domínio. O invasor obteve controle falsificando documentos de identidade e explorando vulnerabilidades no processo de registro, além de modificar brevemente os ponteiros do domínio. A equipe confirmou a anomalia e iniciou uma resposta emergencial em 19 minutos, migrando posteriormente para cow.finance e restaurando o domínio em aproximadamente 26 horas.

A equipe do CoW afirmou que os usuários afetados foram principalmente aqueles que acessaram o site oficial durante o sequestro do domínio, com estimativas iniciais de perdas em aproximadamente US$ 1,2 milhão. O cow.fi já foi reativado e adicionou medidas de segurança como o RegistryLock, e a equipe iniciou auditorias de segurança externas, ações legais e planos de compensação para os usuários afetados. A declaração oficial enfatiza que a vulnerabilidade foi corrigida e que há planos para aprimorar a segurança da infraestrutura do domínio por meio de governança e colaboração com o setor.