Proposition du CoW DAO pour indemniser les victimes d’un piratage du domaine cow.fi, jusqu’à 100 % de remboursement des pertes

Le 23 avril, le CoW DAO a publié une proposition de compensation (CIP) sur le forum de gouvernance, proposant la mise en place d’un programme de subventions discrétionnaires afin d’offrir jusqu’à 100% de remboursement des pertes aux victimes de l’incident de détournement du domaine cow.fi survenu le 14 avril. L’incident aurait entraîné des pertes d’environ 1,2 million de dollars USDC pour les utilisateurs ; le CoW DAO souligne que la compensation relève d’une nature d’avantage émis volontairement et ne constitue pas une reconnaissance de toute responsabilité juridique.

Récapitulatif de l’incident : comment un détournement de domaine de 4,5 heures a causé une perte de 1,2 million de dollars

（Source : CoW DAO）

Le 14 avril 2026, le registrar de domaines Gandi SAS, utilisé par les serveurs DNS (AWS Route 53) du CoW Swap, a été victime d’une attaque d’ingénierie sociale. Les pirates ont exploité cette faille pour prendre le contrôle du domaine cow.fi pendant environ 4,5 heures, mettant en place un site de phishing afin d’inciter les visiteurs à signer des transactions malveillantes et de voler des tokens de portefeuille. Le CoW DAO souligne que le protocole CoW Swap lui-même n’a pas fait l’objet d’une attaque : la faille se situait au niveau du registrar de domaines, et non dans le code du protocole.

Conditions d’éligibilité à la compensation et procédure de demande

Les trois conditions fondamentales pour être éligible :

Avoir déjà utilisé CoW Swap : le portefeuille doit avoir effectué au moins une transaction sur CoW Swap avant la survenue de l’incident

Avoir signé des transactions malveillantes spécifiques : le propriétaire du portefeuille doit avoir signé des messages ou des transactions malveillants liés à un contrat d’extraction (pull) malveillant précis associé au site de phishing (note : les utilisateurs qui ont saisi des phrases mnémoniques ne sont pas concernés)

Avoir terminé la vérification KYC : il faut passer par le processus de vérification d’identité (les informations KYC seront détruites dans les 30 jours suivant le paiement de la compensation)

Les victimes doivent envoyer un e-mail à help@cow.fi avant le 14 mai, avec pour objet « Réclamation pour compensation discrétionnaire de l’incident de détournement du domaine CoW.Fi », et dans le corps du message les adresses de portefeuilles concernées, les actifs précis volés et le nom du propriétaire du portefeuille.

Chronologie clé et déclaration juridique

Chronologie complète : du 30 avril au 7 mai (vote de gouvernance) → le 14 mai (date limite de dépôt des demandes) → le 21 mai (vérification des réclamations terminée) → le 31 mai (toutes les compensations versées). Après la fin du programme de compensation, l’équipe financière complétera la réserve de défense juridique jusqu’à un plafond autorisé de 5 millions de dollars. Le CoW DAO déclare que cette compensation est une mesure isolée et ponctuelle, et ne constitue pas un précédent pour utiliser la réserve de défense juridique en dehors des champs de défense principaux à l’avenir.

FAQ

Comment vérifier si je remplis les conditions pour bénéficier d’une compensation ?

Il faut remplir trois conditions : avoir effectué une transaction sur CoW Swap avant l’incident ; avoir signé une transaction malveillante liée au contrat d’extraction (pull) malveillant spécifique du site de phishing du jour ; avoir réussi la vérification KYC. Vous pouvez soumettre une demande à help@cow.fi avant la date limite du 14 mai ; l’équipe principale comparera et vérifiera les données on-chain.

Les utilisateurs qui ont saisi des phrases mnémoniques de portefeuille peuvent-ils demander une compensation ?

Non. Le CoW DAO indique clairement que les utilisateurs dont les sites demandent de fournir des phrases mnémoniques ne sont pas inclus dans le champ de cette compensation, car ce type d’escroquerie ne correspond pas à une attaque de phishing se faisant passer pour CoW Swap et ne relève pas de la catégorie des victimes de l’incident de détournement du domaine.

Accepter la compensation signifie-t-il renoncer à des actions en justice contre le CoW DAO ?

Selon les conditions de la compensation, les utilisateurs qui acceptent la compensation conviennent qu’à la portée maximale autorisée par la loi, les fonds permettront finalement de régler toutes les réclamations pertinentes du CoW DAO liées à cet événement spécifique. Le CoW DAO déclare également que tout droit qui ne peut pas être renoncé en vertu de la loi n’est pas affecté par cette clause.