Am 14. April 2026 um 14:54 Uhr UTC wechselt im Hintergrund eine DNS-Konfiguration. Niemand, der swap.cow.fi im Browser aufruft, bemerkt es. Die URL ist korrekt. Das TLS-Zertifikat leuchtet grün. Die Oberfläche sieht aus wie immer. Nur der Server dahinter gehört nicht mehr CoW DAO — er gehört Angreifern, die drei Stunden zuvor beim finnischen Domain-Registrar mit gefälschten Ausweisdokumenten die Kontrolle über die .fi-Domain übernommen haben. Wer in diesem Fenster eine Wallet-Approval signiert, übergibt damit die Verfügungsgewalt über seine Token an einen Wallet-Drainer. Rund 1,2 Millionen US-Dollar fließen ab. Ein Nutzer verliert mehr als 50.000 Dollar in einer einzigen Transaktion.
CoW Swap DNS Hijacking: Wie verloren Anleger 1,2 Mio. $ durch einen Domain-Angriff?
Beim CoW Swap DNS Hijacking am 14. April 2026 übernahmen Angreifer per Social Engineering die .fi-Domain cow.fi, leiteten DNS auf eine Phishing-Seite um und ließen Nutzer gefälschte Token-Approvals signieren. Der Smart Contract selbst blieb unangetastet. Der Schaden entstand ausschließlich auf Frontend-Ebene und beläuft sich auf rund 1,2 Millionen US-Dollar.
Dieser Angriff ist kein Bug in einem Smart Contract. Er ist auch kein Fehler in einer Wallet. Er ist ein gezielter Eingriff in die Infrastrukturschicht, auf die jeder Nutzer eines dezentralen Protokolls täglich vertraut: die Domain. Wenn die Adressleiste Ihres Browsers die richtige URL zeigt und trotzdem ein krimineller Server antwortet, versagt jede Intuition. Genau dieser Mechanismus wurde bei CoW Swap genutzt — und er wird wieder genutzt werden.
Was genau passierte beim CoW Swap DNS-Angriff am 14. April 2026?
Die Angreifer gelangten nicht durch einen Code-Exploit in die Infrastruktur. Sie griffen eine Schwachstelle an, die außerhalb der Blockchain liegt: das Domain-Name-System. Konkret manipulierten sie den Registrar der .fi-Top-Level-Domain durch Social Engineering — also durch gefälschte Identitätsdokumente, die den Transfer der DNS-Kontrolle auslösten.
Ab 14:54 UTC am 14. April 2026 lieferte swap.cow.fi nicht mehr die legitime CoW-Swap-Oberfläche, sondern eine täuschend echte Kopie. Diese Kopie zeigte denselben Look, dieselben Swap-Masken, dieselben Buttons. Der entscheidende Unterschied lag im Approval-Dialog. Wer dort auf „Confirm“ klickte, signierte keine legitime Token-Genehmigung für den GPv2VaultRelayer-Contract (0xc92e8bdf79f0507f65a392b0ab4667716bfe0110) — sondern einen Freischein für den Wallet-Drainer der Angreifer.
Der Drainer-Mechanismus ist technisch simpel und rechtlich präzise einzuordnen: Das Opfer erteilt mit seiner Unterschrift eine ERC-20-Approval. Diese Approval autorisiert eine Fremdadresse, beliebige Token-Mengen aus dem Wallet zu transferieren. Der eigentliche Abzug erfolgt in einem zweiten Schritt, der für das Opfer nicht sichtbar ist. Sekunden nach der Signatur laufen die transferFrom-Calls durch. Das Wallet ist leer. Die Transaktion ist irreversibel.
Blockchain-Sicherheitsforscher Vladimir S. schätzte den Schaden initial auf rund 500.000 Dollar. Spätere Analysen durch Phemex und KuCoin bestätigten 1,2 Millionen Dollar als vorläufige Gesamtschadenssumme. Mindestens ein einzelner Nutzer meldete Verluste von über 50.000 Dollar. Die genaue Liste der betroffenen Wallets blieb zunächst nicht öffentlich.
Die Sicherheitsfirma Blockaid identifizierte und meldete den Angriff. Das CoW-Team erkannte die Anomalie innerhalb von 19 Minuten und leitete die Incident-Response ein. Die Backend-APIs wurden vorsorglich pausiert. Aave, das CoW Swap als integrierten Aggregator nutzt, deaktivierte die CoW-Endpunkte ebenfalls vorsorglich. Die Domain blieb für rund 26 Stunden gesperrt, bevor sie mit erhöhten Sicherheitsmaßnahmen — unter anderem RegistryLock — wiederhergestellt wurde. Als Übergangsadresse nutzte das Team cow.finance gemäß Binance Square.
📣 Telegram-Kanal der Fachanwältin
Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.
Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.
Welche juristischen Ansprüche entstehen durch einen DNS-Hijacking-Angriff?
Der Schaden ist real. Die Transaktion ist auf der Blockchain unveränderlich dokumentiert. Dennoch glauben viele Betroffene, dass ein zivilrechtlicher Anspruch daran scheitert, dass kein Vertrag mit dem Angreifer besteht und die On-Chain-Aktivität technisch korrekt war — schließlich hat das Opfer selbst signiert. Dieser Irrtum ist gefährlich.
Erstens: Die Signatur unter Täuschung ist kein wirksamer Konsens. Nach § 123 BGB kann eine durch arglistige Täuschung herbeigeführte Willenserklärung angefochten werden. Die gefälschte Benutzeroberfläche ist eine Täuschungshandlung über die Identität des Vertragspartners und den Inhalt der signierten Transaktion. Dass die Täuschung technisch ausgeführt wurde, ändert an der rechtlichen Qualifikation nichts.
Zweitens: Wer Token durch solche Mechanismen erlangt, bereichert sich ohne Rechtsgrund. § 812 BGB (Herausgabeanspruch aus ungerechtfertigter Bereicherung) greift immer dann, wenn eine Leistung oder eine sonstige Zuwendung ohne rechtlichen Grund erfolgt. Die Täuschung beseitigt den Rechtsgrund.
Drittens: Wenn Sie vor dem Angriff Kryptowerte über eine deutsche Bank oder einen deutschen Zahlungsdienstleister erworben haben — also über eine SEPA-Überweisung, eine IBAN-basierte On-Ramp oder einen in Deutschland lizenzierten CASP (Crypto Asset Service Provider nach MiCAR) — entsteht ein separater Haftungskanal. Nach § 675u BGB haftet ein Zahlungsdienstleister für nicht autorisierte Zahlungsvorgänge. Entscheidend ist die Frage, ob der Zahlungsweg über ein reguliertes Institut lief und ob dieses Institut seine Pflichten nach § 675v BGB (grobe Fahrlässigkeit des Nutzers) hinreichend dokumentieren kann.
Viertens: Der .fi-Registrar selbst ist ein möglicher Haftungsträger. Er hat auf Basis gefälschter Dokumente DNS-Änderungen zugelassen. Im Rahmen des EU Digital Services Act (DSA) besteht ein Auskunftsanspruch gegenüber Domain-Registraren, der Beweise sichern kann — insbesondere Protokolldaten über die Identifizierung des Angreifers. Dieser Weg ist relevant für das Tracing und für mögliche Schadensersatzansprüche nach § 823 Abs. 2 BGB i.V.m. einem Schutzgesetz, etwa § 263 StGB (Betrug) oder § 263a StGB (Computerbetrug).
Fünftens: Eine strafrechtliche Einziehungsperspektive besteht ergänzend. Wenn Angreifer Gewinne über identifizierbare Adressen oder Off-Ramp-Kanäle realisieren, ist eine Sicherstellung nach § 73 StGB i.V.m. § 111e StPO möglich. Dies ist jedoch kein Anwaltsauftrag — es ist eine Folge des Tracing-Ergebnisses, die Strafverfolgungsbehörden einleiten. Die zivilrechtliche Sicherung Ihrer Ansprüche ist davon unabhängig.
Weiterführende Informationen zur Bankenhaftung bei Krypto-Betrug finden Sie auf kryptoschaden.de/bankhaftung-kryptobetrug-anwalt/.
Warum war CoW Swaps Smart Contract sicher, aber Ihr Wallet es nicht war?
Diese Unterscheidung ist für die Schadensaufarbeitung zentral. CoW Protocol hat seine Smart Contracts regelmäßig auditiert. Der GPv2VaultRelayer-Contract war zum Zeitpunkt des Angriffs unberührt. Keine einzige on-chain Funktion wurde kompromittiert. Das Protokoll selbst verhielt sich korrekt. Die on-chain Daten bestätigten dies später vollständig — der Schaden entstand nicht durch einen Fehler im Code, sondern durch einen Eingriff in die Domain-Infrastruktur, über die Nutzer auf den Contract zugreifen. Diese Trennung ist für die Haftungsfrage entscheidend.
Was kompromittiert wurde, ist die Vertrauenskette zwischen dem Nutzer und dem legitimen Contract. In einer normalen Transaktion über das echte swap.cow.fi würde eine Approval an die Adresse 0xc92e8bdf79f0507f65a392b0ab4667716bfe0110 gehen. Das CoW-Team hat nach dem Angriff explizit darauf hingewiesen, dass Nutzer prüfen sollen, ob ihre signierten Approvals an genau diese Adresse gingen oder an eine fremde. Wer an eine Fremdadresse signiert hat, ist Opfer des Phishings geworden.
Dieses Angriffsmuster nennt sich Supply-Chain-Angriff auf Domain-Ebene. Es gehört zur gleichen Angriffsfamilie wie der BGP-Hijacking-Angriff auf MyEtherWallet im Jahr 2018 oder die DNS-Übernahmen bei Curve Finance. Der Unterschied zu einem Smart-Contract-Exploit ist juristisch relevant: Beim Contract-Exploit fehlt häufig ein identifizierbarer Angreifer mit zivilrechtlicher Greifbarkeit. Beim Frontend-Angriff gibt es dagegen eine natürliche Person, die beim Registrar mit gefälschten Dokumenten agierte — und damit Tatbestandsmerkmale nach § 263 StGB und § 263a StGB erfüllt.
Für Sie als Betroffener bedeutet das: Die technische Intaktheit des Protokolls ist kein Gegenargument für Ihre Schadenersatzklage. Sie richtet sich nicht gegen CoW DAO. Sie richtet sich gegen die identifizierbaren Angreifer — und gegen die Infrastruktur-Dienstleister, die deren Angriff ermöglichten. Mehr zu ähnlichen Angriffsvektoren finden Sie in unserem Artikel zu KI-gestütztem Krypto-Betrug und Deepfake-Phishing 2026.
Was sollten Sie jetzt als Betroffener sichern?
Beweise verfallen schnell. Browser-Daten werden gelöscht. Cache-Einträge überschrieben. Wer nach einem DNS-Hijacking-Angriff Ansprüche geltend machen will, hat ein enges Zeitfenster zur Beweissicherung. Die folgenden Sicherungsmaßnahmen sind nicht optional — sie entscheiden über die Rekonstruierbarkeit des Falls.
Als erstes: Revoken Sie sofort alle Token-Approvals, die Sie nach 14:54 UTC am 14. April 2026 über swap.cow.fi erteilt haben. Das Tool revoke.cash verbindet sich mit Ihrer Wallet und zeigt alle offenen Approvals an. Eine offene Approval an eine unbekannte Adresse ist ein laufendes Schadensrisiko — solange die Approval offen ist, kann der Angreifer zu jedem späteren Zeitpunkt transferieren, wenn Ihre Wallet wieder gefüllt ist. Sie schließen dieses Risiko durch die Revoke-Transaktion. Wenn Sie den Revoke bereits vorgenommen haben, sichern Sie den Transaktions-Hash als Beleg.
Als zweites: Sichern Sie Ihre Browser-History für den Zeitraum 14. April 2026, 14:00 bis 18:00 UTC. Exportieren Sie diese als Screenshot und als HTML-Datei. Moderne Browser speichern Timestamps der Seitenaufrufe. Dieser Nachweis belegt, dass Sie die Domain zum fraglichen Zeitpunkt besucht haben.
Als drittes: Sichern Sie die Wallet-Approval-Transaktion selbst. Öffnen Sie Etherscan oder einen anderen Block-Explorer und rufen Sie die Transaktion auf. Machen Sie einen Screenshot mit sichtbarer Transaktions-ID (Tx-Hash), dem Empfänger-Contract, der approvierten Token-Menge und dem Timestamp. Speichern Sie den Link zur Transaktion.
Als viertes: Exportieren Sie die Cookie-Daten Ihres Browsers für die Domain swap.cow.fi. Diese Daten können Verbindungsmetadaten enthalten, die bei der Rekonstruktion des Angriffszeitpunkts helfen. Das gilt insbesondere dann, wenn Sie eine Wallet-Extension (MetaMask, Rabby, Coinbase Wallet) verwendet haben — sichern Sie auch deren Transaktionsprotokoll als Screenshot.
Als fünftes: Dokumentieren Sie alle On-Ramp-Zahlungen, die Ihren betroffenen Kryptowerten vorausgingen. Wenn Sie über eine deutsche IBAN Geld auf eine Krypto-Börse überwiesen haben, um anschließend auf CoW Swap zu swappen, ist dieser Zahlungsweg für die Bankenhaftung nach § 675u BGB relevant. Sichern Sie die SEPA-Überweisungsbelege, die Kontoauszüge und den Nachweis der Einzahlung auf der Krypto-Plattform. Diese Dokumentationskette bildet das Rückgrat jedes zivilrechtlichen Vorgehens gegen regulierte Finanzdienstleister in Deutschland und der EU. Ohne sie ist die Verbindung zwischen dem Schaden auf der Blockchain und dem eingezahlten Fiatgeld nicht herstellbar.
Als sechstes: Falls Sie das Blockchain-Tracing selbst anstoßen möchten: Notieren Sie die genaue Empfänger-Adresse der gefälschten Approval und die Drainer-Adresse, an die Ihre Token transferiert wurden. Diese Adressen finden Sie in der Transaktion auf Etherscan. Das Tracing dieser Adressen kann Verbindungen zu bekannten Kriminellen-Clustern oder Börsen-Einzahlungsadressen herstellen, was für die Einfrierung und zivilrechtliche Geltendmachung essenziell ist.
Sie haben durch eine betrügerische Plattform Geld verloren? Schildern Sie uns Ihren Fall — unsere Fachanwältin für Bank- und Kapitalmarktrecht prüft Ihre Handlungsoptionen. Schreiben Sie an kryptoschaden@rexus-recht.de oder nutzen Sie das Kontaktformular auf kryptoschaden.de.
Was droht CoW-Swap-Opfern nach dem Drainer — und warum warnt die BaFin jetzt vor Hilfsangeboten?
Wer beim CoW-Swap-Hijacking eine Wallet-Approval signiert hat, gerät jetzt ins Visier sogenannter Recovery-Scams. Die BaFin warnte am 04.05.2026 ausdrücklich vor Personen, die Drainer-Opfer per E-Mail oder Anruf mit angeblichen Hilfsangeboten kontaktieren. Konkret listet die BaFin die Plattform verfolgnsfundrecovery.com als betrügerisch: Die Seite täuscht eine BaFin-Zugehörigkeit vor und fordert Vorauszahlungen. Das Muster ist bekannt — auf den Wallet-Drainer folgt ein zweiter Angriff. Anwaltliche Erstanalyse unterscheidet sich davon grundlegend: Kein seriöses Mandat setzt Vorauszahlungen an Mittelsmänner voraus.
Wann ist eine Mandatierung sinnvoll — und wann scheidet sie aus?
Nicht jeder Fall eines CoW Swap DNS-Hijacking-Schadens ist gerichtlich verfolgbar. Eine ehrliche Einschätzung der Mandatsschwelle ist Teil unserer Arbeit — auch wenn das bedeutet, einen Fall abzulehnen.
Eine Mandatierung scheidet aus, wenn weder ein Zahlungsweg über eine deutsche Bank dokumentiert ist noch eine On-Ramp-/Off-Ramp-Brücke über einen DACH-CASP rekonstruierbar ist. In diesem Fall fehlt der jurisdiktionelle Anker für eine zivilrechtliche Geltendmachung vor deutschen Gerichten. Das Tracing allein reicht nicht aus, wenn die Klage am Ende keinen zuständigen deutschen Gerichtsstand begründen kann.
Eine Mandatierung scheidet ebenfalls aus, wenn die Schadenshöhe unter 5.000 Euro liegt und keine Möglichkeit besteht, den Angreifer über Registrar-Auskunft oder Börsen-KYC zu identifizieren. Das Kosten-Nutzen-Verhältnis würde in diesen Fällen nicht zugunsten einer vollständigen Rechtsverfolgung ausfallen.
Sinnvoll ist eine Mandatierung hingegen bei folgenden Konstellationen: Sie haben über eine SEPA-Überweisung von einer deutschen IBAN auf eine in Deutschland oder der EU regulierte Börse eingezahlt. Sie können nachweisen, dass diese Einzahlung den Kryptowerten vorausging, die durch den Phishing-Angriff verloren gingen. Der Schaden liegt über 10.000 Euro. Sie haben Wallet-Approval-Daten, Transaktions-Hash und Browser-History gesichert.
In diesen Fällen bestehen konkrete Angriffspunkte: Bankenhaftung nach § 675u BGB gegenüber dem depotführenden Institut oder der On-Ramp-Plattform, bereicherungsrechtliche Ansprüche nach § 812 BGB gegen identifizierbare Angreifer, Schadensersatzansprüche nach § 823 Abs. 2 BGB i.V.m. § 263 StGB sowie ein EU-DSA-Auskunftsersuchen gegenüber dem .fi-Registrar zur Identitätsfeststellung. Zusätzlich kommt eine MiCAR-gestützte BaFin-Beschwerde gegen DACH-CASPs in Betracht, über die Gelder abgeflossen sind.
Wenn Angreifer Erlöse über Off-Ramp-Kanäle realisiert haben, die über Börsen mit DACH-Nexus laufen, kann zudem eine Einfrierung nach § 73 StGB i.V.m. § 111e StPO im Raum stehen. Das ist kein Anwaltsversprechen — es ist die Konsequenz eines erfolgreichen Tracings, das wir mit forensischer Sorgfalt vorbereiten.
Einen umfassenderen Überblick über ähnliche DNS- und Frontend-Phishing-Angriffe im Kontext der globalen Krypto-Betrugs-Ermittlungen bietet unser Artikel über die Europol-Operation gegen Krypto-Betrug und Deepfakes.
Wie laufen die nächsten Schritte ab, wenn Sie uns beauftragen?
Nach Eingang Ihrer Sachverhaltsschilderung per E-Mail prüfen wir zunächst, ob die Grundvoraussetzungen einer Mandatierung erfüllt sind. Das umfasst die Dokumentation des Zahlungswegs, die Schadenshöhe und die Verfügbarkeit von Beweismitteln. Diese Vorprüfung erfolgt innerhalb von 24 Stunden.
Wenn die Voraussetzungen vorliegen, sichern wir in einem ersten Schritt die on-chain Beweiskette. Das bedeutet: vollständiges Tracing der Drainer-Adresse und aller nachgelagerten Transaktionen, Identifikation von Cluster-Verbindungen zu bekannten Täteradressen, und Überprüfung, ob Gelder über Börsen mit KYC-Pflicht geflossen sind. Das ist die Basis für jeden weiteren Schritt.
Im zweiten Schritt prüfen wir die Bankenhaftung. Wenn Sie über ein deutsches Kreditinstitut Gelder auf eine Krypto-Plattform transferiert haben, fordern wir die relevanten Transaktionsprotokolle an und prüfen, ob das Institut seine Pflichten nach § 675u BGB und § 675v BGB erfüllt hat. Bei grober Fahrlässigkeit des Instituts — etwa bei fehlenden Warnhinweisen über bekannte Phishing-Infrastruktur oder mangelhafter Zwei-Faktor-Authentifizierung beim Konto-Zugang — entstehen direkte Haftungsansprüche. Zu diesem Zeitpunkt war der CoW Swap DNS-Angriff bereits von mehreren Sicherheitsdiensten öffentlich kommuniziert worden. Ein Institut, das dennoch Auszahlungen auf bekannte Drainer-Adressen ohne Warnung zuließ, hat möglicherweise seine Sorgfaltspflichten verletzt.
Im dritten Schritt stellen wir das EU-DSA-Auskunftsersuchen gegenüber dem .fi-Registrar. Dieser ist nach dem Digital Services Act verpflichtet, bestimmte Identifikationsdaten auf Anfrage herauszugeben. Diese Daten können entscheidend für die Identifizierung des Angreifers sein. Der Registrar verfügt über die eingereichten Identifikationsdokumente — auch wenn diese gefälscht waren. Die Metadaten des Transferprozesses, IP-Adressen und Zeitstempel sind forensisch verwertbar und können in Verbindung mit den On-Chain-Daten ein konsistentes Täterprofil erzeugen.
Im vierten Schritt bereiten wir die zivilrechtliche Klage vor, sofern ein identifizierbarer Beklagter feststeht. Anspruchsgrundlagen sind § 823 Abs. 2 BGB i.V.m. § 263 StGB sowie § 812 BGB. Parallel dazu kann eine BaFin-Beschwerde gegen regulierte DACH-Plattformen eingereicht werden, über die Gelder geflossen sind — dies dient sowohl der Druckerzeugung als auch der Beweissicherung.
„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern
Häufige Fragen zum CoW Swap DNS-Hijacking
Wie erkenne ich, ob ich beim CoW Swap DNS-Hijacking betroffen bin?
Sie sind betroffen, wenn Sie am 14. April 2026 nach 14:54 UTC die Domain swap.cow.fi besucht und dort eine Token-Approval signiert haben. Überprüfen Sie auf Etherscan Ihre Wallet-Transaktionen für diesen Zeitraum. Wenn eine Approval-Transaktion an eine andere Adresse als 0xc92e8bdf79f0507f65a392b0ab4667716bfe0110 gerichtet war, haben Sie möglicherweise einen Phishing-Approval unterzeichnet. Der erste Schritt ist der sofortige Revoke über revoke.cash.
Warum hat der Browser die korrekte URL angezeigt, obwohl eine Phishing-Seite geladen wurde?
DNS-Hijacking verändert nicht die URL in Ihrer Adressleiste. Der Angreifer ändert lediglich, welcher Server hinter dieser URL antwortet. Ihr Browser fragt das DNS-System ab, bekommt die gefälschte IP-Adresse des Phishing-Servers zurück und lädt von dort die täuschend echte Kopie der Seite. Das TLS-Zertifikat kann dabei entweder gefälscht oder für eine ähnliche Domain ausgestellt sein. Die URL-Leiste allein ist kein verlässlicher Sicherheitsindikator bei DNS-Angriffen.
Kann ich mein Geld durch Blockchain-Tracing zurückbekommen?
Tracing allein gibt das Geld nicht zurück. Es identifiziert jedoch, wohin die Gelder geflossen sind. Wenn Angreifer Erlöse über eine regulierte Krypto-Börse mit KYC-Anforderungen transferiert haben, kann auf Basis des Tracings ein Auskunftsersuchen gestellt und bei ausreichender Schadenshöhe eine Einfrierung angestrebt werden. Die Erfolgsaussicht hängt davon ab, wie schnell nach dem Angriff das Tracing initiiert wird und ob die Gelder noch nicht auf unregulierte Adressen verschoben wurden.
Haftet der .fi-Registrar für den Schaden?
Der Registrar hat auf Basis gefälschter Identitätsdokumente DNS-Änderungen zugelassen. Ob daraus eine zivilrechtliche Haftung folgt, hängt davon ab, ob er seine Sorgfaltspflichten bei der Identitätsprüfung verletzt hat. Nach dem EU Digital Services Act (DSA) besteht zumindest ein Auskunftsanspruch gegenüber dem Registrar. Eine Haftungsklage gegen den Registrar direkt ist komplexer und setzt eine detaillierte Sachverhaltsaufklärung voraus.
Was ist der Unterschied zwischen dem CoW Swap DNS-Angriff und einem normalen Phishing?
Bei normalem Phishing wird eine täuschend ähnliche URL verwendet, die sich optisch von der Originaladresse unterscheidet. Beim DNS-Hijacking war die Adressleiste identisch mit der legitimen Domain. Der Angriff war deshalb für erfahrene Nutzer schwieriger zu erkennen. Das erhöht die rechtliche Schutzwürdigkeit der Betroffenen erheblich, da die Täuschung auf einer Ebene erfolgte, die dem Durchschnittsnutzer entzieht sich vollständig.
CoW DAO hat nach dem Vorfall einen Kompensationsplan angekündigt. Drittanbieter-Audits laufen. Die Domain cow.fi ist mit RegistryLock gesichert. Diese Maßnahmen sind sinnvoll, ändern aber nichts daran, dass Betroffene ihre eigenen Ansprüche aktiv verfolgen möchten. Ein Kompensationsplan eines Protokolls ersetzt keine individuelle Rechtsposition.
Der CoW Swap DNS-Hijacking-Angriff vom 14. April 2026 steht nicht für sich. Er ist Teil eines breiteren Trends, den Forscher wie Bankless und Yahoo Finance bereits seit 2024 dokumentieren: Angreifer verlagern ihre Aktivität von Smart-Contract-Exploits auf die Vertrauensinfrastruktur — auf DNS, auf Domain-Registrare, auf CDN-Anbieter. Protokoll-Audits schützen vor Code-Fehlern. Sie schützen nicht vor dem gefälschten Ausweis beim Registrar. Solange diese Schwachstelle systemisch bleibt, werden auch gut gesicherte DEX-Frontends angreifbar sein. Regulatorische Antworten — etwa über den DSA oder über MiCAR-Anforderungen an Frontend-Betreiber — sind in Diskussion, aber noch nicht verbindlich. Für Betroffene bedeutet das: Die Rechtslage ist komplex, aber nicht aussichtslos. Der Schlüssel liegt in der frühen Beweissicherung und in der präzisen Rekonstruktion des Zahlungswegs.