CoW Swap DNS-Hijack: 1,2 Mio
Am 14. April 2026 um 14:54 UTC übernahmen Angreifer die Domain cow.fi durch einen CoW Swap DNS-Hijack. Der Schaden summierte sich auf rund 1,2 Millionen US-Dollar. Ein einzelnes Opfer verlor 219 ETH, umgerechnet etwa 750.000 US-Dollar. Die Registry Traficom und der Registrar Gandi reagierten erst nach 26 Stunden mit einem RegistryLock. Die Täter nutzten gefälschte Ausweisdokumente, Social Engineering und den Wallet-Drainer „AngelFerno“. Besonders perfide: On-Chain-Infrastruktur, Smart Contracts, AWS und Vercel blieben unberührt. Der Angriff spielte sich ausschließlich auf der DNS-Ebene ab — genau dort, wo die meisten Nutzer keine Verteidigungslinie erwarten. Dieser Beitrag erklärt technischen Ablauf, rechtliche Handlungsoptionen nach deutschem Recht und praktische Schritte für Geschädigte.
Was geschah beim CoW Swap DNS-Hijack am 14. April 2026?
Der CoW Swap DNS-Hijack war ein Domain-Übernahme-Angriff auf die Adresse cow.fi der dezentralen Handelsplattform CoW Protocol. Am 14. April 2026 um 14:54 UTC leiteten Angreifer die Domain auf ein bösartiges Frontend um. Sie täuschten Traficom, die .fi-Registry Finnlands, mit gefälschten Identitätsdokumenten und erlangten Zugriff über den Registrar Gandi. Der Schaden: 1,2 Millionen US-Dollar, ein Einzelopfer mit 219 ETH.
CoW Protocol ist eine der größten Intent-basierten Handelsinfrastrukturen im Decentralized-Finance-Sektor. Das Projekt ermöglicht Nutzern, Token ohne klassisches Order-Matching zu tauschen. Die Plattform agierte bis zum 14. April 2026 unter der Domain cow.fi. Am Nachmittag dieses Tages stellten erste Nutzer fest, dass ihre Wallets nach Transaktionsbestätigungen auf cow.fi leergeräumt wurden. Um 15:41 UTC reagierte die CoW DAO mit einer öffentlichen Warnung auf X und leitete die Migration zur Ersatzdomain cow.finance ein. Die vollständige Umstellung erfolgte um 18:30 UTC. Zu diesem Zeitpunkt hatten die Täter bereits Wallets im Gesamtwert von circa 1,2 Millionen US-Dollar drainiert, wie [Revoke.cash](https://revoke.cash/exploits/cowswap) in seiner Exploit-Dokumentation festhält. Der prominenteste Einzelfall: ein Opfer verlor 219 ETH mit damaligem Gegenwert von rund 750.000 US-Dollar durch eine einzige signierte Permit-Nachricht nach ERC-2612.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Zudem sollten Sie wissen, dass der Angriff keine Schwachstelle in Smart Contracts, AWS-Infrastruktur oder Backend-Servern von CoW Swap ausnutzte. Der Angriffsvektor lag in der administrativen Kontrolle über die Domainnamensauflösung. Wer cow.fi ansurfte, erhielt eine täuschend echte Kopie mit injiziertem Wallet-Drainer-Script namens „AngelFerno“. [KuCoin](https://www.kucoin.com/blog/cow-swap-frontend-attack-explained-dns-hijacking-how-it-works-and-how-to-protect-your-wallet-in-defi) dokumentiert die Angriffsmethodik. Konkret gelang es den Tätern, Traficom mit gefälschten Unternehmensnachweisen von der legitimen Kontrollberechtigung zu überzeugen. Gandi leitete den Streit ohne Gegenprüfung weiter. Dadurch wurden DNS-Einträge umgeschrieben, und RegistryLock griff erst 26 Stunden später.
Wie funktioniert ein DNS-Hijack technisch?
Ein DNS-Hijack überschreibt die Namensauflösung einer Domain. Der Angreifer manipuliert den Eintrag, der einen Namen wie cow.fi auf eine IP-Adresse abbildet. Statt der echten Server erreichen Nutzer eine Kopie unter Kontrolle der Täter. Im vorliegenden Fall geschah dies über Social Engineering gegenüber der Registry Traficom und dem Registrar Gandi. On-Chain-Infrastruktur blieb unversehrt.
Technisch laufen alle Internetanfragen über das Domain Name System. Wenn Sie cow.fi eingeben, fragt Ihr Gerät einen rekursiven DNS-Resolver, der die autoritativen Nameserver der .fi-Zone kontaktiert. Diese Zone verwaltet Traficom als nationale Registry und delegiert operativ an akkreditierte Registrare. CoW Protocol hatte cow.fi bei Gandi registriert, das Hosting lief über Amazon Route 53. Normalerweise sind diese Schichten mehrfach abgesichert: Mehr-Faktor-Authentifizierung, RegistryLock, DNSSEC. Allerdings umgingen die Täter diese Schichten nicht durch technische Exploits, sondern durch Social Engineering. [DomainNameWire](https://domainnamewire.com/2026/04/17/domain-hijack-led-to-crypto-heist/) rekonstruiert, dass Gandi auf Streiteingaben nicht innerhalb üblicher Fristen reagierte.
Zudem griffen die Angreifer auf eine zweite Ebene zurück: Manipulation der DNS-A-Records auf den Zielservern des Phishing-Frontends. Danach leiteten sie den Verkehr auf eine IP-Adresse, die eine nahezu identische Kopie auslieferte. Eingebettet im HTML fand sich das JavaScript-Framework AngelFerno, das Wallet-Signaturen abfängt. Statt einer legitimen Order signiert das Opfer eine ERC-2612-Permit-Nachricht, die dem Angreiferkonto unbegrenzten Tokenzugriff verleiht. Folglich benötigt der Angreifer keinen privaten Schlüssel — die Signatur allein genügt. Gleichzeitig arbeitet das Tool mit sofortigem Off-Ramp: Binnen Sekunden nach Signaturerhalt verschiebt der Drainer Assets. Tatsächlich waren die 219 ETH des Einzelopfers nach 90 Sekunden über drei Hop-Adressen abgeflossen.
Welche rechtliche Einordnung gilt im deutschen Recht?
Der CoW Swap DNS-Hijack erfüllt nach deutschem Recht den Tatbestand des Computerbetrugs gemäß § 263a StGB. Gleichzeitig greifen Betrug nach § 263 StGB und die Geldwäschenorm § 261 StGB. Zivilrechtlich ergeben sich Ansprüche aus § 823 Abs. 2 BGB, § 826 BGB und § 812 BGB. Die Strafverfolgungsbehörden können Vermögen nach § 73 StGB i.V.m. § 111e StPO arrestieren.
Zunächst das Strafrecht. § 263a StGB sanktioniert betrügerisches Einwirken auf Datenverarbeitungsvorgänge durch unrichtige Gestaltung eines Programms oder unbefugte Dateneinwirkung. Genau dies beschreibt die Manipulation: Die Täter fälschten Dokumente, übernahmen die Domainkontrolle und setzten ein Drainer-Script ein, das automatisiert Vermögensverfügungen auslöste. Darüber hinaus greift § 263 StGB. Die Nutzer wurden über die Identität des Betreibers getäuscht und erklärten Einwilligungen zu Transfers, die sie informiert nie erteilt hätten. Deshalb liegt der klassische vierstufige Betrugstatbestand vor. Schließlich bildet § 261 StGB das Auffangnetz: Sobald Token durch Mixer geschleust werden, liegt Geldwäsche vor.
Zudem sollten Sie die zivilrechtliche Spur prüfen. § 823 Abs. 2 BGB in Verbindung mit den genannten Strafnormen begründet eigenständige Schadenersatzansprüche. Ebenso ergänzt § 826 BGB die Haftung bei sittenwidrigen, vorsätzlichen Schädigungen. Dabei eröffnet § 812 BGB den Weg des Bereicherungsrechts: Wer Token ohne Rechtsgrund erlangt, ist zur Herausgabe verpflichtet. Gleichzeitig kann die Staatsanwaltschaft nach Identifikation der Zieladresse über § 111e StPO einen Vermögensarrest erwirken, und § 73 StGB regelt die spätere Einziehung. Ferner sanktioniert § 675u BGB Zahlungsdienstleister bei nicht autorisierten Transaktionen, gilt derzeit aber nur für Fiat-Zahlungsdienste. Erst mit MiCAR-Vollwirksamkeit zum 1. Juli 2026 rücken auch Krypto-Dienstleister in ein vergleichbares Regime. Unsere [Spezialseite zu Bankhaftung bei Kryptobetrug](https://kryptoschaden.de/bankhaftung-kryptobetrug-anwalt/) gibt einen Überblick über die Haftungsmatrix.
Wer haftet für den Domain-Diebstahl: Registry, Registrar oder Plattform?
Beim Domain-Diebstahl an cow.fi verteilt sich die Haftung mehrstufig. Primär haften die Täter aus § 823 Abs. 2 BGB in Verbindung mit § 263a StGB. Sekundär kommen der Registrar Gandi und die Registry Traficom in Betracht, falls Sorgfaltspflichten verletzt wurden. CoW Protocol selbst haftet nur eingeschränkt, weil die On-Chain-Infrastruktur nicht kompromittiert war und die Plattform innerhalb von 47 Minuten warnte.
Zunächst sind die Täter unstreitig aus Delikt und Bereicherungsrecht haftbar. In der Praxis scheitert Rechtsdurchsetzung oft an der Identifikation. Deshalb rückt sekundäre Haftung der DNS-Infrastrukturanbieter in den Fokus. Gandi als Registrar verwaltete die technische Delegation. Sofern sich im Gerichtsverfahren bestätigt, dass Gandi Streitmeldungen innerhalb der Reaktionsfrist nicht bearbeitet hat, kommt Haftung nach § 280 BGB in Betracht. Parallel greift § 823 Abs. 2 BGB in Verbindung mit § 263a StGB, wenn Mitarbeiter grob fahrlässig die Täuschungshandlung unterstützten. Zudem kann ein deutscher Gerichtsstand nach Art. 7 Nr. 2 Brüssel-Ia-Verordnung am Erfolgsort bestehen.
Konkret hat die Plattform innerhalb von 47 Minuten nach Entdeckung eine Warnung veröffentlicht, wie [Phemex News](https://phemex.com/news/article/cow-swap-suffers-12m-loss-in-domain-hijacking-attack-73904) berichtet. Die Migration auf cow.finance war nach 3 Stunden und 36 Minuten abgeschlossen — nach DeFi-Incident-Response-Maßstäben angemessen. Gleichwohl bleibt Restverantwortung: Domain-Management mit siebenstelligen Nutzervermögen sollte RegistryLock-Mechanismen vorsehen. Zugleich greift § 32 KWG nicht, weil das Projekt als reine Matching-Infrastruktur auftritt. Ebenso dient § 54 KWG nicht als Anspruchsgrundlage. Allerdings wird die Einordnung als Crypto-Asset-Service-Provider unter MiCAR ab 1. Juli 2026 relevant — dann gelten erweiterte Sorgfalts- und Governance-Pflichten.
Wie erkennen Sie einen gefälschten Frontend-Klon?
Einen gefälschten Frontend-Klon erkennen Sie an fünf Merkmalen: ungewöhnliche Transaktionsaufforderungen wie Permit- oder setApprovalForAll-Signaturen, abweichende Zielkontraktadressen, geänderte Gas-Parameter, fehlende Sicherheits-Badges und inkorrekte Bezugsdomains im Wallet-Dialog. Im aktuellen Fall unterschied sich die Phishing-Seite in der Browserleiste nur in der Top-Level-Domain: cow.fi statt cow.finance nach der Migration.
Zunächst sollten Sie jede Transaktionsaufforderung als forensische Prüfung behandeln. Der erste Prüfpunkt ist die Domain. Notieren Sie die offiziellen Adressen Ihrer DeFi-Plattformen in einer lokalen Textdatei und vergleichen Sie bei jedem Besuch. Zudem prüfen Sie die Art der Signaturanfrage: Eine legitime Swap-Transaktion erfordert eine Ethereum-Transaktion mit klaren Token, Mengen, Zieladressen. Dagegen ist eine ERC-2612-Permit-Anfrage ein Warnsignal, weil Permits Allowances ohne On-Chain-Transaktion erteilen. Ebenso gilt dies für setApprovalForAll. Schließlich prüfen Sie die Zieladresse: Legitime Kontrakte sind auf Etherscan dokumentiert. Zieladressen außerhalb dieses Registers deuten auf Drainer hin.
Zudem helfen Werkzeuge, die Signaturen vor Ausführung simulieren. [Rabby Wallet](https://rabby.io) zeigt erwarteten Vermögenszu- oder -abfluss und blockiert Signaturen mit Totalverlust. Ebenso leisten Pocket Universe, Wallet Guard und Fire ähnliche Vorfilter. Darüber hinaus schützt eine Hardware-Wallet ohne Blind-Signing, weil sie jede Signatur in Klartext anzeigt. Kombinieren Sie diese Schichten mit monatlichem Review offener Allowances über [Revoke.cash](https://revoke.cash). Tatsächlich traf der Angriff besonders jene Nutzer, die nie ihre Genehmigungen überprüften. Deshalb ist der regelmäßige Widerruf keine Empfehlung, sondern grundlegende Hygienemaßnahme.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Welche Schritte sollten Geschädigte sofort unternehmen?
Geschädigte des CoW Swap DNS-Hijack sollten innerhalb der ersten 24 Stunden fünf Schritte absolvieren: Beweissicherung per Blockchain-Screenshot, Widerruf aller Token-Approvals über Revoke.cash, Verlagerung verbleibender Bestände auf eine neue Wallet, schriftliche Strafanzeige bei der zuständigen Polizei mit On-Chain-Tracing-Daten, und Einholung einer anwaltlichen Erstanalyse durch eine auf Kryptorecht spezialisierte Kanzlei.
Zunächst die lückenlose Beweissicherung: Öffnen Sie Etherscan und exportieren Sie die Transaktionshistorie der betroffenen Wallet als CSV. Dabei speichern Sie Screenshots jeder verdächtigen Transaktion mit Blocknummer, UTC-Zeitstempel und Hash. Ergänzend sichern Sie cow.fi in der Wayback-Machine. Danach folgt die Schadensbegrenzung: Öffnen Sie Revoke.cash und widerrufen Sie sämtliche Token-Approvals der kompromittierten Wallet. Schließlich die Migration: Richten Sie eine neue Hardware-Wallet ohne Blind-Signing ein und verschieben Sie unversehrte Bestände dorthin.
Danach folgt die Strafanzeige bei der Polizei oder ZAC Ihres Bundeslandes. Konkret beschreiben Sie die Zeitabfolge, fügen Transaktionshashes bei und benennen AngelFerno als Drainer. Die Staatsanwaltschaft prüft Ermittlungsvoraussetzungen nach § 152 StPO und Anklageeröffnung nach § 170 StPO. Gleichzeitig beantragt die Behörde einen Vermögensarrest nach § 111e StPO. Zuletzt folgt die anwaltliche Erstanalyse: Eine spezialisierte Kanzlei prüft Ansprüche gegen identifizierte Täter, Klagen gegen Registrar und Registry sowie Koordination mit Forensik-Dienstleistern. Unsere Übersicht zur [Blockchain-Forensik und Krypto-Tracing](https://kryptoschaden.de/krypto-tracing-blockchain-forensik-anwalt/) zeigt die erforderlichen Daten.
Welche Rolle spielen Wallet-Drainer wie AngelFerno?
Wallet-Drainer wie AngelFerno sind spezialisierte JavaScript-Frameworks, die signaturbasierte Token-Diebstähle automatisieren. Im Frontend-Klon injizierten die Täter AngelFerno in das Phishing-Frontend. Das Tool fängt Wallet-Signaturanfragen ab, lenkt sie auf ERC-2612-Permit-Nachrichten und setApprovalForAll-Transaktionen um und verschiebt Bestände binnen Sekunden. Dranier-Familien werden als Dienstleistung vermietet.
Zunächst ist die Drainer-Ökonomie in 18 Monaten professionalisiert worden. Anbieter vertreiben Frameworks als Drainer-as-a-Service gegen 20 bis 30 Prozent Umsatzbeteiligung. AngelFerno spezialisiert sich auf Ethereum-Token und ERC-20-Permits. [Phemex](https://phemex.com/blogs/fake-ledger-live-app-apple-store-scam) ordnete Drainer-Familien nach Signatur-Fingerabdruck ein. Konkret weicht AngelFerno von älteren Familien wie Inferno und MS Drainer ab: Statt einer einzelnen Mixer-Adresse verteilt das Framework Beute auf drei bis fünf Zwischenadressen. Zugleich nutzt das Tool dynamisches Kontrakt-Deployment — für jeden Angriff ein frischer Smart Contract mit kurzer Lebensdauer. Dadurch wird On-Chain-Attribution erschwert.
Zudem verwendet das Framework Anti-Forensik-Techniken. Dabei prüft es vor Aktivierung, ob Schutzerweiterungen wie Pocket Universe aktiv sind. Gleichzeitig schränkt das Tool Angriffe ein, wenn die Entwicklerkonsole geöffnet ist. Folglich kann selbst ein geschützter Nutzer durchs Raster fallen. Deshalb gilt: jede Signaturanfrage mit Hardware-Wallet-Disziplin prüfen. Schließlich zeigt die Hardware-Wallet die exakte Byte-Repräsentation an — wer dort eine nicht angeforderte Permit-Struktur erkennt, bricht ab.
Welche Tracing-Strategie verspricht Erfolg?
Eine erfolgreiche Tracing-Strategie kombiniert vier Ebenen: On-Chain-Flow-Analyse der 1,2 Millionen US-Dollar über Etherscan und spezialisierte Forensik-Tools, Off-Chain-Analyse des Drainer-Frameworks AngelFerno, kooperative Datenauswertung mit Traficom und Gandi sowie Mustervergleich mit anderen Drainer-Vorfällen derselben Taktik. Kanzleien mit Forensik-Partnern erzielen die besten Ergebnisse.
Zunächst beginnt die On-Chain-Analyse bei der Zieladresse. Folgen Sie den Transaktionshashes, bis Bewegungen in einem Mixer, einer Exchange oder einem Bridge-Kontrakt enden. Konkret identifizierten Forensik-Teams eine Dispersion in Richtung Tornado Cash und Thorchain. Gleichzeitig bietet die Konsolidierung auf Binance oder HTX Ansatzpunkte für Auskunftsersuchen nach § 44 KWG. Ebenso kann die Staatsanwaltschaft über Europol Freezing-Anordnungen veranlassen. Unsere [Europol-Themenseite zur 700-Millionen-Deepfake-Zerschlagung](https://kryptoschaden.de/europol-krypto-betrug-700-millionen-deepfake-zerschlagung/) zeigt den institutionellen Rahmen.
Zudem widmet sich die Off-Chain-Ebene dem Drainer selbst. Dabei analysieren Sicherheitsforscher den Quellcode in Sandboxen. Folglich entstehen Indicators of Compromise: Code-Fingerabdrücke, kryptografische Schlüssel, C2-Server-IPs. Darüber hinaus kooperieren Ermittler mit Traficom und Gandi — die Registry protokolliert jede Zonenänderung. [Rootdata](https://www.rootdata.com/news/612396) zitiert Branchenquellen, wonach die Anfragen über Tor und Proxy-Ketten liefen. Dennoch bleiben E-Mail-Muster als Anknüpfungspunkte. Schließlich folgt der Mustervergleich: Tatsächlich war die Angriffsmethode strukturell vergleichbar mit Vorfällen gegen kleinere DeFi-Projekte Ende 2025.
Wie schützen Sie Ihre Wallet gegen künftige DNS-Hijacks?
Schutz gegen DNS-Hijacks baut auf vier Säulen: Hardware-Wallet mit Klartextanzeige, disziplinierte Allowance-Hygiene über Revoke.cash, Browser-Erweiterungen wie Rabby Wallet oder Pocket Universe sowie Domain-Whitelisting in einer lokalen Textdatei. Kombinieren Sie diese Säulen mit gesunder Skepsis gegenüber jeder Permit- oder setApprovalForAll-Signaturanfrage, und das Restrisiko sinkt deutlich.
Zunächst ist die Hardware-Wallet die wichtigste Verteidigungslinie. Geräte wie Ledger oder Trezor zeigen die Signaturstruktur an, sofern Blind-Signing deaktiviert ist. Deshalb sollten Sie diese Funktion dauerhaft abschalten. Konkret enthält eine ERC-2612-Permit Felder wie „owner“, „spender“, „value“, „nonce“ und „deadline“. Prüfen Sie, ob die spender-Adresse zu einem offiziellen Kontrakt gehört — ist sie unbekannt, brechen Sie ab. Zudem gilt Allowance-Hygiene: Monatlich Revoke.cash aufrufen und offene Approvals durchgehen.
Darüber hinaus sind Browser-Erweiterungen die dritte Säule. Rabby Wallet ersetzt MetaMask und zeigt Bilanzveränderungen vor Bestätigung. Ebenso leisten Pocket Universe, Wallet Guard und Fire Ergänzungsarbeit. Schließlich folgt Domain-Whitelisting: Legen Sie eine Textdatei mit offiziellen Domains an und speichern Sie die exakte Top-Level-Domain. Im vorliegenden Fall hätte der Unterschied zwischen cow.fi und cow.finance den Angriff entlarvt. Gleichzeitig sollten Sie DeFi-Seiten nie über Social-Media-Links öffnen. Ferner aktivieren Sie DNS-over-HTTPS im Browser. Unsere Übersicht zu [KI-Krypto-Betrug und Deepfake-Phishing 2026](https://kryptoschaden.de/ki-krypto-betrug-deepfake-phishing-2026/) zeigt weitere Abwehrstrategien.
Welche Parallelen gibt es zu anderen Frontend-Angriffen?
Der CoW Swap DNS-Hijack reiht sich in eine Serie von Frontend-Angriffen auf DeFi-Protokolle ein. Vergleichbare Muster zeigten sich bei Curve Finance, Balancer und zuletzt bei kleineren AMM-Plattformen. Allen gemeinsam: Der Angriff zielt nicht auf Smart Contracts, sondern auf die zwischen Nutzer und Kontrakt liegenden Schichten. Das Lehrstück lautet: Selbst integre On-Chain-Infrastruktur schützt nicht vor Off-Chain-Kompromissen.
Zunächst zieht sich die Angriffsfamilie durch die DeFi-Historie. 2022 wurde Curve Finance durch einen Frontend-Hijack kompromittiert, Schaden 570.000 US-Dollar. 2023 traf es Balancer, 2024 häuften sich Angriffe auf kleinere Aggregatoren. Konkret zeigt der aktuelle Fall eine neue Eskalationsstufe: Statt eines einzelnen Registrars griffen die Täter die Registry-Ebene selbst an. Dadurch eröffnet sich ein größerer Angriffsradius — wer eine Länderregistry überzeugt, kann theoretisch mehrere Domains übernehmen. Deshalb bleibt das Risiko hoch.
Zudem hat die Entwicklung systemische Konsequenzen. Wenn nationale Registries wiederholt durch gefälschte Dokumente kompromittiert werden, steht die Integrität der gesamten Top-Level-Domain infrage. Folglich könnte ICANN strengere Sorgfaltsvorschriften durchsetzen. Ebenso sehen BSI und ENISA DNS-Angriffe als Schwerpunkt ihrer Bedrohungsanalysen. Tatsächlich weist die ENISA Threat Landscape 2025 auf eine Zunahme um 41 Prozent gegenüber dem Vorjahr hin. Gleichzeitig wird MiCAR ab 1. Juli 2026 Krypto-Dienstleister zur Dokumentation von Frontend-Sicherheit verpflichten. Der Vergleich mit [dem LG-Bamberg-Urteil gegen eine Bitcoin-Bande](https://kryptoschaden.de/lg-bamberg-bitcoin-bande-urteil-fake-trading/) zeigt, dass die deutsche Justiz Krypto-Betrug zunehmend konsequent aufklärt.
FAQ — Häufige Fragen zum CoW Swap DNS-Hijack
Wie hoch war der Gesamtschaden beim cow.fi-Angriff?
Der Gesamtschaden belief sich auf rund 1,2 Millionen US-Dollar, verteilt auf mehrere Dutzend Opfer. Das prominenteste Einzelopfer verlor 219 ETH mit einem damaligen Gegenwert von etwa 750.000 US-Dollar. Die Mehrheit der übrigen Geschädigten verlor Beträge zwischen 5.000 und 50.000 US-Dollar. Die genaue Opferzahl ist noch Gegenstand der laufenden Tracing-Arbeiten, weil nicht alle Betroffenen öffentlich aufgetreten sind. CoW Protocol selbst verlor keine Gelder, da die On-Chain-Infrastruktur unberührt blieb.
War der Smart Contract von CoW Swap kompromittiert?
Nein. Die Smart Contracts von CoW Protocol waren zu keinem Zeitpunkt betroffen. Auch die Backend-Server auf Amazon Web Services und die Vercel-Frontend-Infrastruktur blieben unangetastet. Der Angriff spielte sich ausschließlich auf der DNS-Ebene ab. Die Täter kontrollierten nur die Namensauflösung der Domain cow.fi. Wer auf die neue Domain cow.finance migrierte, konnte die Plattform ab 18:30 UTC am 14. April 2026 ohne Einschränkung nutzen. Die Integrität der Handelslogik und der Smart Contracts blieb durchgängig erhalten.
Kann ich meine verlorenen Token zurückbekommen?
Eine Rückführung ist möglich, aber aufwendig. Die Chancen steigen, wenn die gestohlenen Token auf eine regulierte Exchange geflossen sind. In diesem Fall kann eine deutsche Staatsanwaltschaft über ein Auskunfts- oder Freezing-Ersuchen Bewegungen einfrieren. Fließen die Token in Mixer wie Tornado Cash, wird die Spur verschleiert. Eine anwaltliche Erstanalyse klärt innerhalb weniger Tage, ob Ihr individueller Fall aussichtsreich ist. Dabei prüft die Kanzlei die On-Chain-Spur, identifiziert mögliche Anspruchsgegner und koordiniert mit Forensik-Dienstleistern.
Welche Rolle spielt MiCAR in diesem Fall?
MiCAR ist die EU-Verordnung zu Krypto-Werten und gilt seit Dezember 2024 mit einer Übergangsphase bis 1. Juli 2026. Für dezentrale Protokolle wie CoW Swap greift MiCAR nur eingeschränkt, weil die Definition des Crypto-Asset-Service-Providers auf klassische Intermediäre zugeschnitten ist. Mit vollständiger Wirksamkeit ab Juli 2026 rücken jedoch auch semi-zentrale Komponenten wie Frontend-Betreiber und Aggregatoren in den Anwendungsbereich. Das bedeutet: Künftige Frontend-Angriffe auf regulierte Anbieter lösen aufsichtsrechtliche Meldepflichten und Sorgfaltspflichten aus, deren Verletzung zivil- und strafrechtliche Folgen haben kann.
Was unterscheidet AngelFerno von anderen Wallet-Drainern?
AngelFerno ist eine jüngere Drainer-Familie, die sich durch dynamisches Kontrakt-Deployment, Anti-Forensik-Checks und verteilte Hop-Adressen auszeichnet. Anders als ältere Drainer wie Inferno oder MS Drainer erzeugt AngelFerno für jeden Angriff einen frischen Smart Contract mit kurzer Lebensdauer. Das Tool erkennt aktive Schutzerweiterungen und reagiert zurückhaltend, um Sicherheitsforschern keine Analyseangriffsfläche zu bieten. Diese Eigenschaften erschweren die On-Chain-Attribution und erhöhen den forensischen Aufwand bei der Spurensicherung.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern