Ujawnienie Socket z 24 maja dotyczące TrapDoor wykazało ponad 34 szkodliwe pakunki i ponad 384 powiązane wersje rozprzestrzenione na npm, PyPI i Crates.io, każdy skierowany do programistów tworzących i utrzymujących protokoły oraz do danych uwierzytelniających kontrolujących dostęp do systemów wokół nich.
TrapDoor stworzył drogę od skompromitowanego komputera pojedynczego programisty do repozytoriów, ścieżek CI/CD, kont chmury i kluczy wdrożeniowych, które decydują o tym, jak protokoły trafiają na mainnet i są aktualizowane po wdrożeniu.
Raport Socket potwierdza, że kradzież danych uwierzytelniających i ujawnienie infrastruktury to dokumentowany zakres kampanii, pozostawiając eksploatacje na łańcuchu bloków jako wnioskowaną konsekwencję w dalszej kolejności.
Sześciostopniowy schemat pokazuje, jak szkodliwy pakunek przechodzi od kompromitacji komputera programisty przez kradzież danych uwierzytelniających, by narazić środki użytkowników.
Obszar ataku, którego programiści nie audytują
Kampania dostarczała ładunków poprzez normalne procesy pracy programistów, takie jak pakiety npm wykonujące szkodliwy kod za pomocą hooków postinstall, pakiety PyPI uruchamiające ładunki przy importowaniu podczas pobierania zdalnego JavaScriptu, oraz crate Rust uruchamiające skrypty build.rs podczas kompilacji.
Normalne zachowanie programistów stanowi obszar ataku, ponieważ żaden z tych ścieżek wykonywania nie wymaga niczego więcej niż instalacja pakietu, import lub komenda kompilacji.
W środowisku wokół działającego protokołu każda z tych klas danych uwierzytelniających może stanowić drogę do środków użytkowników, której żaden audyt smart contractów nigdy nie sprawdza.
Socket wyraźnie opisał skradzione klucze SSH jako umożliwiające ruch boczny, a dane uwierzytelniające do chmury i GitHub jako ujawniające repozytoria, systemy CI/CD, prywatne pakiety i środowiska wdrożeniowe.
Ta łańcuch, składający się z szkodliwego pakunku, kompromitacji programisty, kradzieży danych uwierzytelniających, dostępu do repo i chmury oraz szkodliwej aktualizacji, opisuje, jak eksploatacja DeFi może powstać bez jednej linijki wrażliwego Solidity.
Instrukcje wprowadzone przez AI
Socket odkrył, że kampania TrapDoor próbowała zamknąć ukryte instrukcje w plikach takich jak .cursorrules i CLAUDE.md, czyli plikach konfiguracyjnych, które asystenty programistyczne AI, takie jak Cursor i Claude Code, czytają, aby zrozumieć, jak działać w projekcie.
Wprowadzone instrukcje korzystały z ukrytych technik Unicode, by kierować przepływy wspomagane przez AI ku sekretnemu odkrywaniu i wykradaniu danych.
Socket znalazł także żądania pull, przesłane do projektów narzędzi AI i programistycznych, które próbowali wprowadzić pliki instrukcji pod pozornie niewinnymi nazwami.
Celem był asystent AI, który czyta repo, generuje kod i działa z dowolnym kontekstem dostarczanym przez pliki projektu.
Jeśli atakujący cicho manipulują tym kontekstem za pomocą ukrytych instrukcji Unicode, przepływ wspomagany przez AI staje się mechanizmem wykradania danych.
Bardziej ogólny wzór
SafeDep zarejestrował kampanię z 11 maja, która skompromitowała ponad 170 pakietów npm i dwa pakiety PyPI, dotykając 404 szkodliwych wersji związanych z TanStack, Mistral SDK, UiPath, OpenSearch i Guardrails AI.
StepSecurity opisał pięć głównych ataków na łańcuch dostaw w ciągu 48 godzin w rozszerzeniach VS Code, GitHub Actions, npm i PyPI, w tym zatrutą rozszerzenie VS Code z 2,2 milionami instalacji i trojanizowane pakiety Microsoft PyPI.
Sonatype raportował ponad 454 600 nowych szkodliwych pakietów w 2025 roku, co daje łącznie ponad 1,233 miliona, a szkodliwe pakunki stanowią teraz punkty wejścia dla szerszych intruzji.
| Kampania / źródło | Termin | Ekosystem objęty | Rozmiar wymieniony | Dlaczego to ważne dla tej historii |
|---|---|---|---|---|
| TrapDoor / Socket | Maj 2026 | npm, PyPI, Crates.io | ponad 34 szkodliwe pakunki; ponad 384 wersje/artefakty | Pokazuje, że deweloperzy kryptowalut są celem jeszcze przed tym, jak kod trafi na mainnet |
| kampania SafeDep | 11 maja 2026 | npm, PyPI | ponad 170 pakietów npm; 2 pakiety PyPI; 404 szkodliwe wersje | Pokazuje, że szkodliwe pakunki rozprzestrzeniają się przez mainstreamowe zależności programistów |
| wygoda 48-godzinna StepSecurity | Maj 2026 | VS Code, GitHub Actions, npm, PyPI | 5 głównych ataków; jedno rozszerzenie VS Code miało 2,2 miliona instalacji | Pokazuje, że atakujący przechodzą przez wiele warstw narzędzi programistycznych |
| dane Sonatype z 2025 roku | 2025 | Główne eko-systemy open-source | ponad 454 600 nowych szkodliwych pakietów; ponad 1,233 miliona łącznie | Pokazuje, że szkodliwe pakunki stają się zainstalowanym kanałem intruzji |
Wzorzec ataku na płaszczyznę sterowania już spowodował wymierne straty DeFi używając metod strukturalnie identycznych.
Incydent Resolv w marcu był eksploatacją na 23 miliony dolarów, gdzie wdrożony kod działał dokładnie tak, jak zaprojektowano, ale infrastruktura poza siecią i zaufane klucze zawiodły.
W kwietniu 2026 roku Drift stracił 285 milionów dolarów, gdy atakujący połączyli długotrwałe socjotechniki z ważnymi podpisami administratorów.
KelpDAO stracił około 292 milionów dolarów w tym samym miesiącu, gdy atakujący skompromitowali infrastrukturę RPC i DVN poza siecią.
W każdym przypadku punktem awarii była operacyjność: zaufana infrastruktura, systemy poza siecią i warstwy dostępu administratora wokół kontraktu.
Gdzie ryzyko zostanie rozwiązane
Jeśli pakunki typu TrapDoor zostaną szybko wykryte, ponieważ system Socket zarejestrował średnie wykrywanie w 5 minut i 56 sekund, a zespoły rotują wystawione dane uwierzytelniające przed dostępem w dalszej kolejności, kampania kończy się na poziomie wykrywania, a jej szkody ograniczają się do danych uwierzytelniających, które zespoły mogą nadal rotować.
Straty DeFi zbliżają się do bazowego poziomu Immunefi z 2025 roku wynoszącego 680 milionów dolarów, a głównym efektem TrapDoor jest przyspieszenie przeglądów bezpieczeństwa zależności pakietów, tajemnic CI/CD i higieny środowiska programistycznego wśród zespołów kryptowalutowych.
Scenariusz negatywny opiera się na danych Chainalysis, TRM Labs i Immunefi, zmierzonych w 2025 roku i na początku 2026 roku.
TRM Labs oszacowało, że hakerzy z Korei Północnej ukradli około 577 milionów dolarów do kwietnia 2026 roku, co stanowi 76% wszystkich strat kryptowalutowych w tym okresie. Chainalysis ocenił całkowitą kradzież usług kryptowalutowych na ponad 3,4 miliarda dolarów w 2025 roku, przy czym trzy główne incydenty odpowiadały za 69% tej sumy.
Skompromitowanie typu TrapDoor na poziomie kluczy wdrożeniowych, infrastruktury weryfikatorów mostów czy danych uwierzytelniających administratorów w średnim lub dużym protokole mogłoby dodać od 100 do 300 milionów dolarów do bieżącego bilansu 2026 roku, przesuwając roczne straty DeFi w stronę 1 miliarda dolarów lub więcej.
Jeden zainfekowany komputer programisty z tokenem GitHub kontrolującym ścieżkę wdrożenia, dane uwierzytelniające chmury zarządzające infrastrukturą mostów czy klucz portfela posiadający władzę administracyjną protokołu może dotrzeć znacznie dalej niż same fundusze programisty.
W incydencie Drift atakujący wyciągnęli aktywa, w tym cbBTC i WBTC, pokazując, że płynność powiązana z Bitcoinem, zawinięta lub połączona z DeFi, znajduje się w tej samej infrastrukturze operacyjnej, którą Target Door celuje.
| Scenariusz | Co się dzieje | Implicacje strat | Podsumowanie artykułu |
|---|---|---|---|
| Zamykany / scenariusz optimistyczny | Pakiety typu TrapDoor są szybko wykrywane, wystawione dane uwierzytelniające są rotowane, a żaden dostęp do protokołu w dalszej kolejności nie następuje | Straty DeFi pozostają blisko bazowego poziomu Immunefi z 2025 roku wynoszącego 680 milionów dolarów | Szybkie wykrywanie ogranicza kampanię do higieny danych uwierzytelniających i przeglądów zależności |
| Scenariusz bazowy | Kampanie kopiatowe kompromitują mniejsze zespoły, tajemnice CI/CD czy dane uwierzytelniające chmury, powodując ograniczone incydenty w protokołach | Roczne straty DeFi przekraczają bazowy poziom z 2025 roku, ale pozostają poniżej 1 miliarda dolarów | Obszar eksploatacji przesuwa się w górę, ale straty pozostają rozproszone |
| Scenariusz negatywny | Jeden skompromitowany komputer programisty ujawnia klucze wdrożeniowe, infrastrukturę mostów, dane uwierzytelniające administratorów czy dostęp do repo w średnim lub dużym protokole | Jeden incydent dodaje od 100 do 300 milionów dolarów, przesuwając roczne straty DeFi w stronę 1 miliarda dolarów lub więcej | Następna duża eksploatacja może rozpocząć się przed wdrożeniem wrażliwego kodu |
| Czarny łabędź | Kampania samorozprzestrzeniająca się lub wspomagana przez AI kompromituje wiele środowisk programistycznych, pakunków czy systemów CI/CD | Skupione straty zbliżają się do wielkości głównej kradzieży usług kryptowalutowych z 2025 roku | Płaszczyzna sterowania DeFi staje się obszarem ataku |
Czego audyty nie docierają
Przemysł DeFi zbudował istotną warstwę bezpieczeństwa smart contractów w ciągu ostatnich czterech lat. Dane Immunefi pokazują, że średnia wielkość incydentów spadła z 6 milionów dolarów w 2022 roku do 1,5 miliona dolarów w 2025 roku, co świadczy o dojrzałości podstawowych obron na poziomie kontraktów.
Ale Resolv, Drift i KelpDAO pokazują, że atakujący wciąż absorbują tę poprawę i przechodzą do systemów, których audyty nie mogą osiągnąć, takich jak uprawnienia wdrożeniowe, weryfikatory mostów, infrastruktura chmury, klucze administratora, poza siecią punkty dostępu RPC i teraz komputery programistów, zależności pakietów i środowiska programistyczne AI, które produkują i konfigurują wszystko powyżej.
Smart contract może przejść każdy audit, jaki zleca protokół, a mimo to siedzieć na szczycie ścieżki wdrożeniowej, gdzie hook post-install już wykradł token GitHub administratora.
TrapDoor to specyficzna kampania z określoną liczbą pakunków i czasem wykrycia. Obszar ataku, na który była skierowana, składający się z komputerów programistów, rejestrów pakietów, danych uwierzytelniających CI/CD, plików programistycznych AI i kont chmury, trwa poza samą listą pakunków TrapDoor.
Inne kampanie już korzystają z tych samych ścieżek, a następna eksploatacja DeFi może rozpocząć się na laptopie programisty, wewnątrz skryptu budowania czy w środowisku programistycznym AI.
Artykuł Następna duża eksploatacja DeFi rozpocznie się przed wdrożeniem kodu pojawił się pierwszy raz na stronie CryptoSlate.