У повідомленні Socket від 24 травня про TrapDoor було виявлено понад 34 шкідливих пакунки та понад 384 пов’язані з ними версії, поширені на npm, PyPI та Crates.io, кожен із яких спрямований на розробників, що створюють та підтримують протоколи, а також на облікові дані, що регулюють доступ до систем навколо них.
TrapDoor створив шлях від компрометованого комп’ютера одного розробника до репозитаріїв, CI/CD-пайплайнів, хмарних облікових записів та ключів розгортання, які регулюють, як протоколи потрапляють на основну мережу та оновлюються після розгортання.
Шестиетапна блок-схема показує, як шкідливий пакунок рухається від компрометації комп’ютера розробника через крадіжку облікових даних, щоб поставити під загрозу кошти користувачів.
Поверхня атаки, яку розробники не перевіряють
Кампанія доставляла завантаження через звичайні робочі процеси розробників, наприклад, npm-пакунки, що виконують шкідливий код через постінсталяційні хуки, PyPI-пакунки, що запускають завантаження при імпорті, коли отримують віддалений JavaScript, та Rust crates, що запускають скрипти build.rs під час компіляції.
Звичне поведінка розробників є поверхнею атаки, оскільки жоден із цих шляхів виконання не потребує нічого крім встановлення пакунка, імпорту чи команди компіляції.
В середовищі навколо живого протоколу будь-який із цих класів облікових даних може представляти шлях до коштів користувачів, який ніколи не перевіряється при аудиті смарт-контрактів.
Socket явно описав викрадені SSH-кільця як забезпечення бічного руху, а хмарні та GitHub-облікові дані — як викриття репозитаріїв, CI/CD-систем, приватних пакунків та середовищ розгортання.
Той ланцюг, що складається зі шкідливого пакунка, компрометації розробника, крадіжки облікових даних, доступу до репозитарію та хмари, а також шкідливого оновлення, описує, як експлуатація DeFi може виникнути без жодного рядка уразливого Solidity.
Ін’єкція інструкцій AI
Socket виявив, що кампанія TrapDoor намагалася встановити приховані інструкції всередині файлів, таких як .cursorrules та CLAUDE.md, які є конфігураційними файлами, що читають AI-помічники для програмування, такі як Cursor та Claude Code, щоб зрозуміти, як поводитися в межах проекту.
Ін’єктовані інструкції використовували приховані техніки Unicode, щоб направити AI-помічникові робочі процеси на секретне виявлення та екстракцію.
Socket також знайшов запити на вилучення, надіслані до проектів AI та інструментів для розробників, які намагалися ввести файли з інструкціями під благозвучними назвами.
Метою був AI-помічник, що читає репозитарій, генерує код та працює з будь-яким контекстом, який надають файли проекту.
Якщо зловмисники тихо маніпулюють цим контекстом через приховані інструкції Unicode, AI-помічник перетворюється на механізм екстракції.
Більш широкий патерн
SafeDep задокументував кампанію від 11 травня, що компрометувала понад 170 npm-пакунків та два PyPI-пакунки, затронувши 404 шкідливі версії, пов’язані з TanStack, Mistral SDK, UiPath, OpenSearch та Guardrails AI.
StepSecurity описав п’ять великих атак на постачання за 48 годин у розширеннях VS Code, GitHub Actions, npm та PyPI, включаючи отруєне розширення VS Code з 2,2 мільйонами установок та троянізованими Microsoft PyPI-пакунками.
Sonatype повідомив про більше ніж 454 600 нових шкідливих пакунків у 2025 році, довівши загальний показник до понад 1,233 мільйона, де шкідливі пакунки тепер служать точками входу для ширших вторгнень.
| Кампанія / джерело | Час | Екосистема, що постраждала | Масштаб, згаданий | Чому це важливо для цієї історії |
|---|---|---|---|---|
| TrapDoor / Socket | Травень 2026 | npm, PyPI, Crates.io | 34+ шкідливих пакунки; 384+ версії/артефакти | Показує, що криптографічні розробники стають мішенню ще до того, як код потрапить на основну мережу |
| Кампанія SafeDep | 11 травня 2026 | npm, PyPI | 170+ npm-пакунки; 2 PyPI-пакунки; 404 шкідливі версії | Показує, як шкідливі пакунки поширюються через основні залежності розробників |
| Хвиля StepSecurity за 48 годин | Травень 2026 | VS Code, GitHub Actions, npm, PyPI | 5 великих атак; одне розширення VS Code мало 2,2 млн установок | Показує, як зловмисники переміщаються через кілька слоїв інструментів для розробників |
| Дані Sonatype за 2025 рік | 2025 | Основні екосистеми з відкритим вихідним кодом | 454 600+ нових шкідливих пакунків; 1,233 млн+ загальний | Показує, як шкідливі пакунки стають індустріальним каналом вторгнень |
Патерн атаки на контрольний план уже призвів до вимірюваних втрат DeFi за структурно ідентичними методами.
Інцидент Resolv у березні був експлуатацією на 23 мільйони доларів, де розгорнутий код працював саме так, як був запланований, але оф-чейн інфраструктура та довірені ключі зазнали невдачі.
У квітні 2026 року Drift втратив 285 мільйонів доларів, коли зловмисники поєднали довготривалу соціальну інженерію з дійсними підписами адміністратора.
KelpDAO втратив близько 292 мільйонів доларів того самого місяця, коли зловмисники компрометували оф-чейн RPC та DVN-інфраструктуру.
В кожному випадку провалом стала операційна частина: довірена інфраструктура, оф-чейн системи та рівні доступу адміністратора навколо контракту.
Де ризик вирішується
Якщо пакунки типу TrapDoor легко виявити, оскільки система Socket зареєструвала середню швидкість виявлення 5 хвилин і 56 секунд, а команди обертають викриті облікові дані перед тим, як відбувається доступ униз за ланцюжком, кампанія закінчується на рівні виявлення, а її шкода обмежується обліковими даними, які команди все ще можуть обертати.
Втрати DeFi наближаються до базового рівня Immunefi 2025 року в 680 мільйонів доларів, причому головним ефектом TrapDoor є прискорені перевірки безпеки залежностей пакунків, CI/CD-секретів та гігієни середовища розробників у криптогрупах.
Ведмедяча сценарія спирається на дані Chainalysis, TRM Labs та Immunefi, виміряні у 2025 році та початку 2026 року.
TRM Labs оцінив, що північнокорейські хакери вкрали близько 577 мільйонів доларів до квітня 2026 року, що становить 76% усіх криптовалютних втрат за цей період. Chainalysis оцінив загальну крадіжку криптовалютних послуг у понад 3,4 мільярди доларів у 2025 році, причому три найбільші інциденти склали 69% цієї суми.
Компрометація верхнього рівня типу TrapDoor, що досягає ключів розгортання, інфраструктури валідаторів мостів чи облікових даних адміністратора на середньому чи великому протоколі, може додати від 100 до 300 мільйонів доларів до річного підсумку 2026 року, підвищуючи річні втрати DeFi до мільярда доларів чи більше.
Один заражений комп’ютер розробника з GitHub-токеном, що контролює пайплайн розгортання, хмарним обліковим записом, що керує інфраструктурою мостів, чи ключем гаманця, що має адміністративні права на протокол, може вплинути значно більше, ніж власні кошти розробника.
У інциденті Drift зловмисники вивели активи, включаючи cbBTC та WBTC, що показує, що ліквідність, пов’язана з біткоїном, обернута чи міститься в DeFi, знаходиться в тій же операційній інфраструктурі, на яку спрямований TrapDoor.
| Сценарій | Що відбувається | Вплив на втрати | Висновок статті |
|---|---|---|---|
| Обмежений / булл-кейс | Пакунки типу TrapDoor швидко виявляються, викриті облікові дані обертаються, і немає доступу до нижніх протоколів | Втрати DeFi залишаються близько базового рівня Immunefi 2025 року в 680 млн доларів | Швидке виявлення обмежує кампанію лише гігієною облікових даних та перевірками залежностей |
| Базовий кейс | Копіювання кампаній компрометує менші команди, CI/CD-секрети чи хмарні облікові дані, що спричиняє обмежені інциденти протоколів | Річні втрати DeFi переходять вище базового рівня 2025 року, але залишаються нижче 1 млрд доларів | Поверхня експлуатації зміщується вгору, але втрати залишаються фрагментованими |
| Ведмедяча сценарія | Один компрометований комп’ютер розробника викриває ключі розгортання, інфраструктуру мостів, облікові дані адміністратора чи доступ до репозитарію на середньому чи великому протоколі | Один інцидент додає 100–300 млн доларів, підвищуючи річні втрати DeFi до чи вище 1 млрд доларів | Наступна велика експлуатація може початися до розгортання уразливого коду |
| Чорний лебідь | Кампанія постачання, що саморозповсюджується чи допомагає AI, компрометує кілька середовищ розробників, пакунки чи CI/CD-системи | Кластерні втрати наближаються до масштабів великої крадіжки криптовалютних послуг 2025 року | Контрольний план DeFi стає поверхнею атаки |
Чого не досягають аудити
Індустрія DeFi побудувала значущий шар безпеки смарт-контрактів за останні чотири роки. Дані Immunefi показують, що медіанний розмір інциденту знизився з 6 мільйонів доларів у 2022 році до 1,5 мільйона доларів у 2025 році, що свідчить про зрілість основних захистів на рівні контрактів.
Але Resolv, Drift та KelpDAO показують, що зловмисники встигли врахувати цей прогрес і перейшли до систем, які не можна досягти аудитом, таких як дозволи розробників, валідатори мостів, хмарна інфраструктура, адміністративні ключі, оф-чейн точки доступу RPC та тепер комп’ютери розробників, залежності пакунків та AI-середовища програмування, що генерують і налаштовують усе вище перераховане.
Смарт-контракт може пройти кожен аудит, який комісіонує протокол, і все одно залишатися на вершині пайплайну розгортання, де постінсталяційний хук вже вивів GitHub-токен розробника.
TrapDoor — це конкретна кампанія з конкретною кількістю пакунків та часом виявлення. Поверхня атаки, на яку він був спрямований, що складається з комп’ютерів розробників, реєстрів пакунків, CI/CD-облікових даних, AI-файлів програмування та хмарних облікових записів, продовжує існувати поза списком самих пакунків TrapDoor.
Інші кампанії вже використовують ті ж шляхи, і наступна експлуатація DeFi може початися на ноутбуці розробника, у скрипті компіляції чи в AI-середовищі програмування.
Публікація Наступна велика експлуатація DeFi почнеться до розгортання коду вперше з’явилася на CryptoSlate.