CoW Swap pausiert nach Website-Kompromittierung
CoW Swap pausierte sein Protokoll am 14. April nach einem Frontend-Angriff, der seine Domain kaperte und Nutzern ~$500K entzog. Das ist passiert.
Das Wichtigste in Kürze
- CoW Swap hat sein Protokoll am 14. April 2026 pausiert, nachdem Angreifer die Front-End-Website-Domain gekapert hatten
- Rund $500.000 an digitalen Vermögenswerten wurden Berichten zufolge über bösartige Token-Genehmigungen aus Nutzer-Wallets abgezogen
- Nutzer, die nach 14:54 UTC am 14. April mit CoW Swap interagiert haben, sollten umgehend alle Genehmigungen widerrufen
- Die Backend-Smart-Contracts und APIs von CoW Protocol wurden nicht kompromittiert — nur die Website-Oberfläche war betroffen
Der CoW Swap Front-End-Angriff am 14. April traf einen der meistgenutzten DeFi-Börsenagregatoren auf Ethereum völlig unvorbereitet und zwang das Team, das gesamte Protokoll abzuschalten, während Angreifer Nutzer auf eine bösartige Klon-Seite umleiteten. Die Smart Contracts blieben sauber. Die Wallets nicht.
Was ist beim CoW Swap Front-End-Angriff tatsächlich passiert?
Angreifer übernahmen die Kontrolle über die Website-Domain von CoW Swap — die URL, die Nutzer in ihren Browser eingeben, um die Börse zu erreichen — und leiteten sie auf eine täuschend echte Seite um, die darauf ausgelegt war, Gelder zu stehlen. Der Exploit ist ein klassischer DNS-Hijack: keine Smart-Contract-Schwachstelle, kein Private-Key-Leak, nur ein kompromittierter Domain-Registrar, der den Datenverkehr umgeleitet hat. Wenn Nutzer die Seite besuchten und Token-Interaktionen genehmigten, unterschrieben sie unwissentlich bösartige Transfers, die ihre Wallets leerten.
Der CoW Swap Front-End-Angriff wurde erstmals am Dienstag, dem 14. April gemeldet, wobei das Team eine öffentliche Warnung veröffentlichte, in der es die Nutzer dringend aufforderte, die Plattform komplett zu meiden. Der Discord-Server des Projekts füllte sich fast sofort mit Verlustmeldungen. Drei Stunden nach der Bekanntgabe war das Protokoll weiterhin eingefroren — eine vorsorgliche Abschaltung, während das Team versuchte, die Domain zurückzuerlangen und den Schaden zu ermitteln.
Das CoW Protocol Backend und die APIs waren nicht betroffen, aber wir haben sie vorsorglich vorübergehend pausiert.
Wie hoch ist der Schaden — und wen hat es getroffen?
Die genaue Schadenssumme blieb stundenlang unklar. Ein pseudonymes Teammitglied namens MooKeeper erklärte, die Untersuchungen liefen noch und eine offizielle Bewertung werde innerhalb von ein bis zwei Tagen folgen. Die vorsichtige Formulierung war nachvollziehbar — solche Vorfälle sind in Echtzeit notorisch schwer zu bewerten. Was klarer war: CoW Protocol bestätigte, dass „eine kleine Anzahl von Nutzern bösartige Genehmigungen für sehr geringe Beträge unterzeichnet hat", was darauf hindeutet, dass das Angriffsfenster schmaler war, als es zunächst den Anschein hatte.
Der Cybersicherheitsforscher Vladimir S. nannte eine konkretere Zahl und schätzte, dass rund $500.000 von einer Handvoll Wallet-Adressen abgezogen wurden. Martin Köppelmann, Mitgründer und CEO von Gnosis, äußerte sich ebenfalls — er stellte fest, dass der Wirkungsradius auf Nutzer beschränkt zu sein scheint, die in den wenigen Stunden vor der Abschaltung CoW Swap-Interaktionen genehmigt hatten. Wer das Protokoll an diesem Nachmittag nicht genutzt hatte, war höchstwahrscheinlich nicht betroffen.
Ich weiß nicht mehr, was ich tun soll. Ich habe überhaupt kein Geld mehr.
DNS-Hijacks in DeFi: Ein Muster, das nicht verschwinden will
Das ist kein neuer Angriffsvektor — und genau das sollte schmerzen. DNS-Hijacks, die auf DeFi-Front-Ends abzielen, sind seit Jahren eine bekannte Bedrohung. Curve Finance wurde zweimal getroffen: Der erste Angriff im Jahr 2022 kostete Nutzer $570.000, und ein zweiter DNS-Hijack folgte letztes Jahr. Das Drehbuch ist jedes Mal identisch — die Domain kompromittieren, ein gefälschtes Front-End aufsetzen und Genehmigungen von Nutzern abgreifen, die keinen Grund haben, etwas zu vermuten.
Die bittere Ironie bei CoW Swap: Die zugrunde liegenden CoW Swap Smart Contracts haben einwandfrei gehalten. Der Batch-Auction-Mechanismus des Protokolls, der Nutzer vor MEV-Extraktion schützen soll, wurde nicht angetastet. Die Schwachstelle lag nicht im Code — sie lag in einem DNS-Eintrag. Das ist ein Serveradministrations-Problem, kein DeFi-Problem. Aber die Nutzer haben trotzdem echtes Geld verloren.
Was CoW Swap zu einem besonders prominenten Ziel macht, ist seine Nutzerbasis. Ethereum-Mitgründer Vitalik Buterin hat die Plattform in diesem Jahr wiederholt genutzt, um ETH gegen Stablecoins zu tauschen, wobei On-Chain-Daten von Arkham Intelligence Aktivitäten noch eine Woche vor dem Angriff zeigen. Er nutzte die Plattform auch 2024, um einen Meme-Coin zu verkaufen, der auf einem Baby-Zwergflusspferd basierte. Wenn Buterin ein Stammnutzer ist, hat man Bekanntheit — und Bekanntheit zieht Angreifer an.
Was sollten betroffene Nutzer jetzt tun?
Das CoW-Team war unmissverständlich: Jeder, der nach 14:54 UTC am 14. April mit CoW Swap interagiert hat, muss sofort Token-Genehmigungen widerrufen. Das Team verwies Nutzer auf Widerrufs-Tools — Dienste wie Revoke.cash zeigen jede aktive Genehmigung an, die Ihr Wallet erteilt hat, und ermöglichen es, die nicht erkannten zu stornieren. Es dauert etwa drei Minuten und könnte Ihre verbleibenden Gelder retten.
Die tiefere Lektion hier ist eine, die DeFi-Nutzer immer wieder auf die harte Tour lernen: Setzen Sie ein Lesezeichen für die offizielle Domain, klicken Sie niemals auf Links aus Discord oder Twitter, und überprüfen Sie Token-Genehmigungen regelmäßig, auch wenn nichts schiefgeht. Ein sauberer Smart Contract ist wertlos, wenn das Front-End, über das Sie damit interagiert haben, bösartigen Code ausgeliefert hat. Das Backend von CoW Swap hat intakt überlebt — die betroffenen Nutzer wurden nicht durch einen Protokollfehler geschädigt. Sie wurden gephisht, schlicht und einfach.
Wir haben Hinweise darauf, dass eine kleine Anzahl von Nutzern bösartige Genehmigungen für sehr geringe Beträge unterzeichnet hat.
Häufig gestellte Fragen
Was ist der CoW Swap Front-End-Angriff?
Der CoW Swap Front-End-Angriff war ein DNS-Hijack, der am 14. April 2026 stattfand. Angreifer übernahmen die Kontrolle über die Website-Domain von CoW Swap und leiteten Nutzer auf eine bösartige Seite um. Opfer, die Token-Interaktionen auf der gefälschten Seite genehmigten, bekamen Gelder aus ihren Wallets abgezogen. Die zugrunde liegenden Smart Contracts wurden nicht kompromittiert.
Wie viel Geld wurde CoW Swap-Nutzern gestohlen?
Der Cybersicherheitsforscher Vladimir S. schätzte, dass rund $500.000 an digitalen Vermögenswerten von einer kleinen Anzahl von Wallet-Adressen abgezogen wurden. Das eigene Team von CoW Swap erklärte, die Untersuchungen liefen noch und eine vollständige Schadensbewertung werde innerhalb von ein bis zwei Tagen nach dem Vorfall vom 14. April veröffentlicht.
Was soll ich tun, wenn ich CoW Swap am 14. April 2026 genutzt habe?
Widerrufen Sie alle Token-Genehmigungen, die nach 14:54 UTC am 14. April 2026 auf CoW Swap erteilt wurden. Nutzen Sie ein Widerrufs-Tool wie Revoke.cash, um alle aktiven Genehmigungen zu identifizieren und zu stornieren, die Ihr Wallet in diesem Zeitfenster erteilt hat. Das CoW-Team bestätigte, dass nur Nutzer betroffen sein können, die an diesem Nachmittag mit der Seite interagiert haben.
Wurde der Code von CoW Protocol gehackt?
Nein. Die Smart Contracts, das Backend und die APIs von CoW Protocol wurden nicht kompromittiert. Der Angriff zielte ausschließlich auf die DNS-Konfiguration der Website ab und leitete die Domain auf ein gefälschtes Front-End um. Das Backend wurde freiwillig als Vorsichtsmaßnahme pausiert, während das Team das Domain-Problem löste und die Nutzerverluste bewertete.